Twitter客户端TweetDeck爆漏洞 引发大规模XSS蠕虫

安全
早上一如往常,我会登录各类社交网络。当我使用TweetDect登录Twitter后,弹出了一个提示框,显示“XSS on Tweet Deck.”这让我感到很恼火,因为显然这不是正常的欢迎屏幕。

早上一如往常,我会登录各类社交网络。当我使用TweetDect登录Twitter后,弹出了一个提示框,显示“XSS on Tweet Deck.”这让我感到很恼火,因为显然这不是正常的欢迎屏幕。

Twitter客户端TweetDeck爆漏洞 引发大规模XSS蠕虫

经过一番研究,我发现我收听的其中一个帐号包含了下面的Javascript代码。TweetDeck没有过滤输入导致代码在浏览器中直接执行了。

Twitter客户端TweetDeck爆漏洞 引发大规模XSS蠕虫

只要有人把下面的代码通过Tweet发送出去,其他用户通过TweetDeck查看就会中招。从下面的Tweet中可以看出,已经有接近4万用户中招并进行了自动转发,该数字还在不断攀升。

Twitter客户端TweetDeck爆漏洞 引发大规模XSS蠕虫

正如你所看到的,这次XSS攻击能够通过data-action:retweet进行自动转发,从而在用户登录TweetDeck并查看该恶意Tweet后会引发连锁反应。这是一次非常严重的安全事件,已经导致了Twitter上爆发大规模蠕虫,TweetDeck官方已经对此做了声明。

Twitter客户端TweetDeck爆漏洞 引发大规模XSS蠕虫

这次XSS问题产生的原因是当Tweet中插入了Unicode字符“♥”,Twitter会将其自动转换为心形的图案,并导致HTML过滤器失效。

责任编辑:蓝雨泪 来源: sucuri
相关推荐

2011-05-26 14:45:53

TweetDeckTwitter

2014-07-17 15:47:52

2010-12-30 12:13:03

Skype宕机Windows客户端漏

2017-01-11 10:38:17

MySQL客户端代码

2009-03-18 14:44:34

LinuxqTwitterTwitter

2022-01-20 16:31:41

AndroidTwitter客户端

2018-06-05 11:19:36

2023-08-31 19:11:07

2016-09-02 09:14:26

2011-07-21 09:25:41

2021-08-22 14:52:00

漏洞网络安全网络攻击

2020-07-16 17:57:19

黑客网络攻击网络安全

2011-01-04 17:48:59

2014-04-29 15:11:24

2020-02-07 16:45:10

TwitterLinux命令

2012-05-09 11:52:37

Twitter信息泄露

2011-06-08 14:30:54

SkypeWindows微软

2009-03-06 17:04:06

LinuxMitterTwitter

2021-11-15 06:00:14

JSPanda扫描漏洞

2019-01-28 20:50:19

人工智能机器人AI
点赞
收藏

51CTO技术栈公众号