TwitterでのアクティブなXSS
スクリーンショット( lc0d3rに感謝):
例: twitter.com/mr_the/status/25105420721 (アラートのみあります)
すべてはここから始まりました(cssを介した一般的な着色) twitter.com/RainbowTwtr 、著者は不明です。
このようなツイートを投稿するだけです:
実際、その理由は、適切なフィルタリングが行われていない、不十分なリンクパーサーです。
セキュリティ上の理由から、twitter.comでJavaScriptを一時的に無効にすることをお勧めします。
UPD :NewTwitterではxssは機能しません。
UPD2 :15:52(キエフ)に、そのようなツイートを送信する機能は終了しました。 古いものはまだ動作します。
UPD3 :キエフの16:46、脆弱性は公式にクローズされました-status.twitter.com/post/1161435117/xss-attack-identified-and-patched
例: twitter.com/mr_the/status/25105420721 (アラートのみあります)
すべてはここから始まりました(cssを介した一般的な着色) twitter.com/RainbowTwtr 、著者は不明です。
このようなツイートを投稿するだけです:
http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha!XSS! '); "/
そして多くの喜びがあります。
実際、その理由は、適切なフィルタリングが行われていない、不十分なリンクパーサーです。
セキュリティ上の理由から、twitter.comでJavaScriptを一時的に無効にすることをお勧めします。
UPD :NewTwitterではxssは機能しません。
UPD2 :15:52(キエフ)に、そのようなツイートを送信する機能は終了しました。 古いものはまだ動作します。
UPD3 :キエフの16:46、脆弱性は公式にクローズされました-status.twitter.com/post/1161435117/xss-attack-identified-and-patched
All Articles