Journal Nouvelle vulnérabilité découverte dans Twitter

• # Correction sur la vulnérabilité

  Posté par Sebastien (site web personnel) le 22 septembre 2010 à 13:13. Évalué à 8.

  

  Ce n'est pas à proprement parler le onmouseover qui n'était pas filtré, mais le fait que dans certaines conditions, quand il y avait une url dans le twit, avec un format particulier, le contenu non filtré se retrouvait dans l'attribut de la balise <a>. Donc il était possible de fermer l'attribut avec un guillemet, et insérer des attributs autres; par exemple un 'style' pour faire de jolis arc-en-ciel. Ou utiliser la déclaration d'événements javascript (et donc le onmouseover).

  • [^] # Re: Correction sur la vulnérabilité

    Posté par phoenix (site web personnel) le 22 septembre 2010 à 15:48. Évalué à 3.

    

    c'est une sorte de HtmlInjection alors.

• # Tribune DLFP

  Posté par Infernal Quack (site web personnel) le 22 septembre 2010 à 13:17. Évalué à 9.

  

  Une telle faille était présente dans la tribune de DLFP à une époque. C'était un jour mémorable. Je me souviens du fond jaune, de la police 42, de l'alerte Javascript qui se lançait à chaque reload,..... C'était mieux à vent.
  
  Sinon dans le genre "vers", il y avait les virus de tribune. Mais cela a été fixé en testant le referer et en interdisant la méthode GET. Depuis on a le virus belge : "Copies/colles ce texte et postes le sur la tribune".
  
  Et ce genre de faille (XSS ) est super courant. Elle était par exemple présente sur les sites de openDesktop.org (kde-look.org,...) au début.
  
  Cela dit pour un site comme Twitter, ça la fout mal d'avoir laisser passer une telle faille.

  L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • [^] # Re: Tribune DLFP

    Posté par gUI (Mastodon) le 22 septembre 2010 à 14:14. Évalué à 2.

    

    Cela dit pour un site comme Twitter, ça la fout mal d'avoir laisser passer une telle faille.
    
    Ça en serait presque étonnant qu'il ait fallu tant de temps pour la découvrir !
    
    Serait-ce une faille récente ? (suite à une mise à jour quelconque)

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Tribune DLFP

      Posté par Nimlar le 22 septembre 2010 à 15:34. Évalué à 1.

      

      Certaine infos sur le blog de twiter http://blog.twitter.com/2010/09/all-about-onmouseover-incide(...)
      
      "We discovered and patched this issue last month. However, a recent site update (unrelated to new Twitter) unknowingly resurfaced it. "
      
      l’intéressant est le "unknowingly".

      • [^] # Re: Tribune DLFP

        Posté par DLFP est mort le 22 septembre 2010 à 16:50. Évalué à 4.

        

        Ne pas sous-estimer l'incompétence de Twitter.
        
        Ils ne savent pas utiliser correctement OAuth [1], sont incapables d'avoir une uptime correcte (d'où le malheureusement bien connu "fail whale") [2], et ont tout simplement réimplementé un pauvre IRC par dessus HTTP [3], tout en nécessitant 100 fois plus de ressources. Faut pas leur demander de savoir utiliser correctement un gestionnaire de version !
        
        [1] http://arstechnica.com/security/guides/2010/09/twitter-a-cas(...)
        [2] http://status.twitter.com/
        [3] http://linuxfr.org/board/

        DLFP >> PCInpact > Numerama >> LinuxFr.org

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.