Faille XSS sur Twitter



Edit : 15h54 / 21/09/2010 : Faille comblée : /xss-attack-identified-and-patched

Je viens de lire plusieurs tweets qui utilisent une faille xss via javascript.



Voici un petit exemple :

http://t.co/@"onmouseover="document.getElementById('status').value='deedil.com';$('.status-update-form').submit();"font-size:5pt;/



Cela aura pour effet d'insérer un onmouseover sur le lien généré par twitter, qui vous fera twitter "Deedil.com".
Au final rien de bien méchant, mais cela pourrait être rapidement utiliser par un grand nombre de pseudo-spammeurs pour diffuser leurs twitts... A suivre, de près, donc.

J'ai découvert l'info via un twitt de @amaury et @geekearlier.



De plus amples informations:

Le site Web de Twitter est victime d'attaques réalisées (souvent involontairement) par des utilisateurs qui utilisent une faille qui permet l'apparition de messages pop-up et l'ouverture de sites internet externes.

Des milliers de comptes Twitter ont posté des messages exploitant la faille. Parmi les victimes, on compte notamment Sarah Brown, épouse de l'ancien Premier ministre britannique. Il semble que, dans le cas de Sarah Brown, sa page Twitter ait été salie dans une tentative pour rediriger les visiteurs vers un site porno hardcore basé au Japon. C'est évidemment une plutôt mauvaises nouvelles pour ses follwoers...

Du coup, Mme Brown a publié un avertissement sur sa page Twitter: Ne touchez pas le tweet précédent - ce flux twitter a quelque chose de très étrange ! Sarah



Il semble que de nombreux utilisateurs utilisent actuellement la faille pour jouer et s'amuser, mais il ya évidemment un potentiel pour les cybercriminels pour rediriger les utilisateurs vers des sites tiers contenant du code malicieux ou des spam pop-ups publicitaires.

Espérons que Twitter va combler cette lacune dès que possible, interdisant aux utilisateurs d'afficher le code JavaScript onMouseOver, et de protéger les utilisateurs dont la navigation peut être à risque.

Certains utilisateurs ont décidé d'exploiter délibérément la faille pour créer des tweets qui contiennent des blocs de couleur (appelés "tweets arc en ciel "). Parce que ces messages peuvent cacher leur véritable contenu, ils pourraient s'avérer trop difficile pour certains utilisateurs de résister de cliquer sur eux (ou même: de le survoler).

A l'heure actuelle, vous pouvez être sûr de ne pas risquer ce genre de chose en utilisant un client tiers Twitter plutôt que le site Twitter.com.

D'après : Twitter 'onmouseover' security flaw widely exploited