Journal Nouvelle vulnérabilité découverte dans Twitter

Posté par (page perso) .
Tags : aucun
6
22
sept.
2010
Apparemment, Twitter ne filtrerait pas l'attribut onmouseover des liens postés, ce qui aurait permis à des tweet d'exécuter du code javascript arbitraire chez leurs lecteurs (quand la souris passe sur le lien bien sur). La personne qui a rapporté cette faille a juste utilisé cette faille pour faire une démo de "vers" twitter, qui se retweete "tout seul" (enfin, on mouse over), mais il affirme que d'autres personnes moins bien intentionnées auraient utilisé cette faille à de moins bons escients.
On peut cela dit saluer la réactivité de l'équipe Twitter, qui a mis 6 heures et 6 minutes pour régler ce souci.

À vous d'essayer maintenant de voir si cette même faille est présente dans identi.ca, ou dans la tribune DLFP ;)

Source : http://bits.blogs.nytimes.com/2010/09/21/twitter-hacked-tues(...)
  • # Correction sur la vulnérabilité

    Posté par (page perso) . Évalué à 8.

    Ce n'est pas à proprement parler le onmouseover qui n'était pas filtré, mais le fait que dans certaines conditions, quand il y avait une url dans le twit, avec un format particulier, le contenu non filtré se retrouvait dans l'attribut de la balise <a>. Donc il était possible de fermer l'attribut avec un guillemet, et insérer des attributs autres; par exemple un 'style' pour faire de jolis arc-en-ciel. Ou utiliser la déclaration d'événements javascript (et donc le onmouseover).
  • # Tribune DLFP

    Posté par (page perso) . Évalué à 9.

    Une telle faille était présente dans la tribune de DLFP à une époque. C'était un jour mémorable. Je me souviens du fond jaune, de la police 42, de l'alerte Javascript qui se lançait à chaque reload,..... C'était mieux à vent.

    Sinon dans le genre "vers", il y avait les virus de tribune. Mais cela a été fixé en testant le referer et en interdisant la méthode GET. Depuis on a le virus belge : "Copies/colles ce texte et postes le sur la tribune".

    Et ce genre de faille (XSS ) est super courant. Elle était par exemple présente sur les sites de openDesktop.org (kde-look.org,...) au début.

    Cela dit pour un site comme Twitter, ça la fout mal d'avoir laisser passer une telle faille.

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.