下载客户端
下载客户端
关于我们 寻求报道 加入我们
2010-9-22 09:10

Twitter 受到 XSS 攻击

April April Senior Editor
-

北京时间昨天晚上 7 时左右,登陆 twitter 官方网页的童鞋一定会发现自己 timeline 夹杂一些彩色文字推,见下图:

在获悉此事之前,笔者曾毫无鸭梨的登陆官网,却发现自己的 timeline 中有夹杂色块的 tweet 。在无意间鼠标移至色块以后,网页端就自动对该条 tweet 进行 Retweet。接着,timeline 上出现越来越多相似的 tweet,很多用户都遭受了这一困扰。但是通过第三方客户端使用的 twitter 服务却没有受到任何影响:

计算机安全公司 Sophos 随后指出这是利用安全漏洞进行的 XSS 攻击(或跨站脚本攻击)。随后结合一些消息源,攻击似乎有升级的迹象。恶意脚本的运行甚至不需要用户移动鼠标,一样可以影响其正常的网页浏览。

没过多久,Twitter 在 status.twitter.com 发布如下状态

We’ve identified and are patching a XSS attack; as always, please message @safety if you have info regarding such an exploit.We expect the patch to be fully rolled out shortly and will update again when it is.

大意是说这次 XSS 攻击已经被识别,并在着手应对措施。有任何建议和意见直接发信给 @safety。

那事态有多严重?读写网表示仅 favstar.fm 上的用户因为此次安全漏洞就有 24000 条垃圾 Retweet。TechCrunch 和 Mashable 也同时报道了该攻击会给中招用户带来弹窗、重定向至非法站点等困扰。

来自卡巴斯基实验室的 Goerg Wicherski 在一篇开发日志中建议用户关闭 Twitter.com 的 Javascript 支持并写道:

即使用户没有进行任何操作,它也有可能加载来自外部链接的二次脚本,这一定会(给用户安全)带来危害。

另外,据小道消息披露,这次攻击的源头来自一位 id 为 @Judofyr的用户,他最早发现了 Twitter 这一安全漏洞,并且开始了一连串的转发。

当然,无论是谁第一个打开了这潘多拉魔盒,我们还是建议各位通过官方网页使用 twitter 服务的读者在安全漏洞没有彻底解决前,先用自己信赖的第三方客户端继续使用 twitter。另外,从读写网获得的消息,newTwitter.com 未收到此次攻击的影响。是真是假还待已经用上 newTwitter 的读者告知。

Update: Twitter 在 status.twitter.com 上更新了状态:

Update (6:50 PDT, 13:50 UTC): The exploit is fully patched.

这一攻击事件暂时告一段落。

转载请注明 ifanr.com 及原文链接。

文章评论(-)
后参与讨论
正在加载中