Today XXS Tweet, 40000 Tweets en à peine 10 minutes ! C'est la découverte de Judofyr qui à, aujourd'hui, déstabilisé la plateforme social Twitter. En effet il est à l'origine de la découverte d'une faille XSS dans les Tweets. Quelques minutes après sa découverte, les effets de bord style : "Boule de feu" se sont emparés de l'exploit ! L'origine de sa découverte était simplement ceci :
http://judofyr.net/@"style="background:#000;color:#000;/
Ce qui donne :
Tweet à première vu rigolo ! Texte noir sur font noir, cependant il était loin de se douter que cette "découverte" allez prendre une si grande ampleur ! (oui je sais, ça fait un peu scénario catastrophe...). Il vient du fait que Twitter ne code pas les URL et tout ce qu'il y a après un simple @, ce qui implique donc que le CSS et Javascript peuvent être inclus et interprété ! Bien entendu les effets de bords ont été bien différents, prenant toutes sorte de forme, selon les esprits plus ou moins créhacktif ! Comme le témoigne ceci.
Bien entendu, il va de soit que les redirect, les onmouseover, ou les appels à une page internet avec un code malicieux vont aller de bon train ! Il est aussi possible d'imposer le RT de votre Tweet par la simple fonction "onmouseover" !
Des milliers de compte Twitter sont déjà infectés par cette faille, à l'image du compte de Sarah Brown, ancienne épouse du Premier Ministre Britannique, qui s'est vue rediriger ses visiteurs vers un site "porno-hardcore" basé au Japon.
Bref, il est vivement conseillé de vous déconnecter de Twitter, ou si vous êtes curieux de ce qu'il s'y passe, de désactiver le Javascript !
Un coup dur pour Twitter...
Si vous avez plus d'informations, n'hésitez pas à les communiquer !
Update
Twitter a corrigé la faille, pour plus d'information consulter leur blog
http://judofyr.net/@"style="background:#000;color:#000;/
Ce qui donne :
Tweet à première vu rigolo ! Texte noir sur font noir, cependant il était loin de se douter que cette "découverte" allez prendre une si grande ampleur ! (oui je sais, ça fait un peu scénario catastrophe...). Il vient du fait que Twitter ne code pas les URL et tout ce qu'il y a après un simple @, ce qui implique donc que le CSS et Javascript peuvent être inclus et interprété ! Bien entendu les effets de bords ont été bien différents, prenant toutes sorte de forme, selon les esprits plus ou moins créhacktif ! Comme le témoigne ceci.
Bien entendu, il va de soit que les redirect, les onmouseover, ou les appels à une page internet avec un code malicieux vont aller de bon train ! Il est aussi possible d'imposer le RT de votre Tweet par la simple fonction "onmouseover" !
Des milliers de compte Twitter sont déjà infectés par cette faille, à l'image du compte de Sarah Brown, ancienne épouse du Premier Ministre Britannique, qui s'est vue rediriger ses visiteurs vers un site "porno-hardcore" basé au Japon.
Bref, il est vivement conseillé de vous déconnecter de Twitter, ou si vous êtes curieux de ce qu'il s'y passe, de désactiver le Javascript !
Un coup dur pour Twitter...
Si vous avez plus d'informations, n'hésitez pas à les communiquer !
Update
Twitter a corrigé la faille, pour plus d'information consulter leur blog
0 commentaires:
Enregistrer un commentaire