RSS
email

Vulnérabilité XSS sur Twitter

Today XXS Tweet, 40000 Tweets en à peine 10 minutes ! C'est la découverte de Judofyr qui à, aujourd'hui, déstabilisé la plateforme social Twitter. En effet il est à l'origine de la découverte d'une faille XSS dans les Tweets. Quelques minutes après sa découverte, les effets de bord style : "Boule de feu" se sont emparés de l'exploit ! L'origine de sa découverte était simplement ceci :

http://judofyr.net/@"style="background:#000;color:#000;/

Ce qui donne :



Tweet à première vu rigolo ! Texte noir sur font noir, cependant il était loin de se douter que cette "découverte" allez prendre une si grande ampleur ! (oui je sais, ça fait un peu scénario catastrophe...). Il vient du fait que Twitter ne code pas les URL et tout ce qu'il y a après un simple @, ce qui implique donc que le CSS et Javascript peuvent être inclus et interprété ! Bien entendu les effets de bords ont été bien différents, prenant toutes sorte de forme, selon les esprits plus ou moins créhacktif ! Comme le témoigne ceci.

Bien entendu, il va de soit que les redirect, les onmouseover, ou les appels à une page internet avec un code malicieux vont aller de bon train ! Il est aussi possible d'imposer le RT de votre Tweet par la simple fonction "onmouseover" !

Des milliers de compte Twitter sont déjà infectés par cette faille, à l'image du compte de Sarah Brown, ancienne épouse du Premier Ministre Britannique, qui s'est vue rediriger ses visiteurs vers un site "porno-hardcore" basé au Japon.

Bref, il est vivement conseillé de vous déconnecter de Twitter, ou si vous êtes curieux de ce qu'il s'y passe, de désactiver le Javascript !

Un coup dur pour Twitter...

Si vous avez plus d'informations, n'hésitez pas à les communiquer !

Update
Twitter a corrigé la faille, pour plus d'information consulter leur blog


Bookmark and Share

0 commentaires:

Enregistrer un commentaire

 

Tags

Modules

over-blog.com

Wikio - Top des blogs - High-tech

VOTEZ POUR MON BLOG

News référencées par WebPlanete.net

Twitter