На сервисе микроблогов Twitter обнаружена очередная XSS-уязвимость, сообщается на сайте Sophos.

Пользователи Twitter пожаловались, что когда они работают с сервисом через веб-интерфейс, в браузере появляются всплывающие окна и открываются сторонние сайты — несмотря на то, что они не «кликали» на какие-либо баннеры или ссылки.

Выяснилось, что причина «странного» поведения Twitter — XSS-уязвимость, которая позволяет отправлять на сервис сообщения с JavaScript-кодом.

Воспользовавшись уязвимостью, можно размещать в Twitter ссылки на сторонние сайты, которые будут автоматически открываться при наведении курсора мыши на ссылку.




Функционал уязвимости позволяет злоумышленникам похищать аккаунты доступа к этой социальной сети.
В настоящий момент администрация Twitter уже устранила данную уязвимость.
Что касается количества пострадавших, то системы наблюдения "Лаборатории Касперского" фиксировали примерно 100 зараженных пользователей в секунду. Таким образом, за примерно полтора часа, от действия червей могли пострадать около полумиллиона пользователей Twitter.

«Дырой» в системе безопасности не преминули воспользоваться злоумышленники. Так, при наведении мыши на ссылку в микроблоге жены бывшего премьер-министра Великобритании Гордона Брауна (Gordon Brown) Сары Браун (Sarah Brown) открывался японский порнографический сайт.

Предположительно, об уязвимости первым узнал пользователь @RainbowTwtr. Правда, он воспользовался обнаруженной «дырой» во вполне мирных целях — для того, чтобы превращать «твиты» в полоски разных цветов радуги.

Пока уязвимость не будет устранена, не рекомендуется работать с Twitter через веб-интерфейс — безопаснее будет воспользоваться программами-клиентами.


Коментарии к теме:

Начиная с субботы пользователи Twitter испытывают на себе действие XSS-червей, написанных 17-летним владельцем конкурирующего сервиса. Специалисты по безопасности из Twitter третьи сутки заделывают лазейки, через которые пролезают черви.

По словам Микко Хиппонена (Mikko Hypponen) из компании F-Secure, в субботу некоторые пользователи сервиса начали жаловаться на то, что от их имени создаются записи, рекламирующие сайт StalkDaily.com. Их "френды", которым хватило ума пойти по ссылке, нарывались на действующий по этому адресу JavaScript, который использовал уязвимость XSS (межсайтовый скриптинг) для заражения их профилей на "Твиттере".

После этого сообщения с рекламой StalkDaily.com начинали автоматически рассылаться от вновь зараженных профилей. Более того, подцепить заразу пользователи "Твиттера" могли, просто просмотрев страничку с зараженным профилем.

Муни признался, что все три червя являются его творениями и что он написал их от скуки:

"Была середина ночи, и мне нечего было делать. Около недели назад я заметил XSS-уязвимость и решил её использовать".

Муни осознаёт, что доставил неприятности многим людям, и даже сильно сожалеет об этом, однако говорит, что это не он "тот, кто оставил уязвимость". Дырой мог воспользоваться кто-нибудь другой, и при этом запросто утянуть с зараженных учётных записей персональные данные — имя, электронную почту и номер мобильного телефона.

Видео
Как самому провести атаку (видео с класной песней)





Пример по Джаве , от китайских спецов.