-
-
Twitter客户端TweetDeck爆严重漏洞,引发大规模XSS蠕虫
-
发表于: 2014-6-12 15:15
-
新闻链接:0e0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3x3K6j5@1x3e0m8Q4x3X3g2Z5N6r3#2D9
新闻时间:2014年6月12日
新闻正文:
早上一如往常,我会登录各类社交网络。当我使用TweetDect登录Twitter后,弹出了一个提示框,显示“XSS on Tweet Deck.”这让我感到很恼火,因为显然这不是正常的欢迎屏幕。
经过一番研究,我发现我收听的其中一个帐号包含了下面的Javascript代码。TweetDeck没有过滤输入导致代码在浏览器中直接执行了。
只要有人把下面的代码通过Tweet发送出去,其他用户通过TweetDeck查看就会中招。从下面的Tweet中可以看出,已经有接近4万用户中招并进行了自动转发,该数字还在不断攀升。
正如你所看到的,这次XSS攻击能够通过data-action:retweet进行自动转发,从而在用户登录TweetDeck并查看该恶意Tweet后会引发连锁反应。这是一次非常严重的安全事件,已经导致了Twitter上爆发大规模蠕虫,TweetDeck官方已经对此做了声明。
e50K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3W2E0j5h3N6W2i4K6u0W2x3K6l9H3x3g2)9J5k6h3&6W2N6q4)9J5c8X3W2E0j5h3N6W2M7#2)9J5c8U0t1H3x3e0b7H3y4U0p5J5i4K6u0r3x3e0b7H3x3U0f1K6x3o6R3$3y4U0M7J5y4U0m8Q4x3X3g2H3L8X3N6Q4x3U0q4K6L8h3q4D9L8l9`.`.
这次XSS问题产生的原因是当Tweet中插入了Unicode字符“♥”,Twitter会将其自动转换为心形的图案,并导致HTML过滤器失效。
via/sucuri
转自FreebuF.COM
新闻时间:2014年6月12日
新闻正文:
早上一如往常,我会登录各类社交网络。当我使用TweetDect登录Twitter后,弹出了一个提示框,显示“XSS on Tweet Deck.”这让我感到很恼火,因为显然这不是正常的欢迎屏幕。
经过一番研究,我发现我收听的其中一个帐号包含了下面的Javascript代码。TweetDeck没有过滤输入导致代码在浏览器中直接执行了。
只要有人把下面的代码通过Tweet发送出去,其他用户通过TweetDeck查看就会中招。从下面的Tweet中可以看出,已经有接近4万用户中招并进行了自动转发,该数字还在不断攀升。
正如你所看到的,这次XSS攻击能够通过data-action:retweet进行自动转发,从而在用户登录TweetDeck并查看该恶意Tweet后会引发连锁反应。这是一次非常严重的安全事件,已经导致了Twitter上爆发大规模蠕虫,TweetDeck官方已经对此做了声明。
e50K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3W2E0j5h3N6W2i4K6u0W2x3K6l9H3x3g2)9J5k6h3&6W2N6q4)9J5c8X3W2E0j5h3N6W2M7#2)9J5c8U0t1H3x3e0b7H3y4U0p5J5i4K6u0r3x3e0b7H3x3U0f1K6x3o6R3$3y4U0M7J5y4U0m8Q4x3X3g2H3L8X3N6Q4x3U0q4K6L8h3q4D9L8l9`.`.
这次XSS问题产生的原因是当Tweet中插入了Unicode字符“♥”,Twitter会将其自动转换为心形的图案,并导致HTML过滤器失效。
via/sucuri
转自FreebuF.COM
|
|
|---|---|
