Twitter 受到 XSS 攻击

北京时间昨天晚上 7 时左右，登陆 twitter 官方网页的童鞋一定会发现自己 timeline 夹杂一些彩色文字推，见下图：

在获悉此事之前，笔者曾毫无鸭梨的登陆官网，却发现自己的 timeline 中有夹杂色块的 tweet 。在无意间鼠标移至色块以后，网页端就自动对该条 tweet 进行 Retweet。接着，timeline 上出现越来越多相似的 tweet，很多用户都遭受了这一困扰。但是通过第三方客户端使用的 twitter 服务却没有受到任何影响:

计算机安全公司 Sophos 随后指出这是利用安全漏洞进行的 XSS 攻击（或跨站脚本攻击）。随后结合一些消息源，攻击似乎有升级的迹象。恶意脚本的运行甚至不需要用户移动鼠标，一样可以影响其正常的网页浏览。

没过多久，Twitter 在 status.twitter.com 发布如下状态：

We’ve identified and are patching a XSS attack; as always, please message @safety if you have info regarding such an exploit.We expect the patch to be fully rolled out shortly and will update again when it is.

大意是说这次 XSS 攻击已经被识别，并在着手应对措施。有任何建议和意见直接发信给 @safety。

那事态有多严重？读写网表示仅 favstar.fm 上的用户因为此次安全漏洞就有 24000 条垃圾 Retweet。TechCrunch 和 Mashable 也同时报道了该攻击会给中招用户带来弹窗、重定向至非法站点等困扰。

来自卡巴斯基实验室的 Goerg Wicherski 在一篇开发日志中建议用户关闭 Twitter.com 的 Javascript 支持并写道：

即使用户没有进行任何操作，它也有可能加载来自外部链接的二次脚本，这一定会（给用户安全）带来危害。

另外，据小道消息披露，这次攻击的源头来自一位 id 为 @Judofyr的用户，他最早发现了 Twitter 这一安全漏洞，并且开始了一连串的转发。

当然，无论是谁第一个打开了这潘多拉魔盒，我们还是建议各位通过官方网页使用 twitter 服务的读者在安全漏洞没有彻底解决前，先用自己信赖的第三方客户端继续使用 twitter。另外，从读写网获得的消息，newTwitter.com 未收到此次攻击的影响。是真是假还待已经用上 newTwitter 的读者告知。

Update: Twitter 在 status.twitter.com 上更新了状态：