В Twitter была найдена уязвимость, по внешнему признаку имеющая характер XSS-бага, позволяющего исполнять на компьютере пользователя JS-код.
Результатом выполнения кода является перепостинг сообщений, спам по друзьям и, как следствие, появление всплывающих окон с рекламой фривольного содержания.
На данный момент уязвимости подвержены практически все залогиненные пользователи зашедшие на сайт сервиса и имеющие среди друзей зараженных пользователей.
Добавить 5 комментариев
Началось всё отсюда (банальное раскрашивание через css) twitter.com/RainbowTwtr, автор не известен. Достаточно отпостить твитт вида http://twitter.com/mr_the#@«onmouseover=»jAvascript:alert(‘Ha-ha! XSS!’);»/ и будет много-много радости. Собственно причина — плохой парсер ссылок, без должной фильтрации. В 16:52 отключили. http://habrahabr.ru/blogs/infosecurity/104665/
http://mobile.twitter.com/
стильненько так получилось!
> В целях безопасности, рекомендую временно отключить выполнение Javascript на twitter.com. Вообще бы его всем и везде отключить А то некоторые уже даже одностраничный промосайт ухитряются так сверстать, что юзеру с отключенным javascript для прочтения текста страницы приходится смотреть ее код, потому что на страницы весь текст, кроме нескольких основных тезисов, скрыт
Блин, а я сегодня все проспал. :(