Twitter客户端TweetDeck爆严重漏洞,引发大规模XSS蠕虫
+4
共102632人围观
,发现 15 个不明物体
早上一如往常,我会登录各类社交网络。当我使用TweetDect登录Twitter后,弹出了一个提示框,显示“XSS on Tweet Deck.”这让我感到很恼火,因为显然这不是正常的欢迎屏幕。
经过一番研究,我发现我收听的其中一个帐号包含了下面的Javascript代码。TweetDeck没有过滤输入导致代码在浏览器中直接执行了。
只要有人把下面的代码通过Tweet发送出去,其他用户通过TweetDeck查看就会中招。从下面的Tweet中可以看出,已经有接近4万用户中招并进行了自动转发,该数字还在不断攀升。
正如你所看到的,这次XSS攻击能够通过data-action:retweet进行自动转发,从而在用户登录TweetDeck并查看该恶意Tweet后会引发连锁反应。这是一次非常严重的安全事件,已经导致了Twitter上爆发大规模蠕虫,TweetDeck官方已经对此做了声明。
这次XSS问题产生的原因是当Tweet中插入了Unicode字符“♥”,Twitter会将其自动转换为心形的图案,并导致HTML过滤器失效。
via/sucuri
特别推荐
关注我们 分享每日精选文章
活动预告
-
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气已结束 -
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)已结束 -
10月
【首节课仅需1元】挖掘CVE不是梦已结束 -
9月
【已结束】自炼神兵之自动化批量刷SRC已结束
已有 15 条评论
又是Unicode字符引发的血案。
神思路
♥
<script>alert(1)</script>♥
@一剑萧寒 你想多了。
@一剑萧寒
当Tweet中插入了Unicode字符“♥”,Twitter会将其自动转换为心形的图案,这是为什么?
内置表情字符占位吧……微博QQ都有这情况
黑客哥哥,我想加你QQ可以吗。
→_→同求
呃,这……我帮你问问他。
lol
<script class="xss">$(‘.xss’).parents().eq(1).find(‘a’).eq(1).click();$(‘[data-action=retweet]‘).click();alert(‘XSS TweetDeck漏洞’)</script>♥
看不到图……