作者:趋势科技
前两天Twitter受到黑客袭击,Twitter遭黑客袭击4.5小时,由于只需鼠标划过(无需点击)就会发作,白宫发言人与前英相夫人也中招 ,该报导指出用户会链接到色情网站或自动发送讯息,还好经过 4 个半小时修复了该零日攻击漏洞。据悉连白宫发言人吉布斯和英国前首相夫人莎拉也受害。
根据报导,这起事件导因于一名澳洲中学生所写的Java Script程序遭到黑客利用来。以下是趋势科技资深分析师Robert在事前发生时所写的文章。
-------------------------------------------------------------------------------
Twitter Mouseover Flaw Allows Script Injection
Robert McArdle (Senior Threat Researcher)
在我写此文之时,Twitter推特上出现了许多不太寻常的标题,包括:
· XSS(Cross-Site Scripting,简称XSS,跨站脚本攻击)
· OnMouseOver(鼠标移至图上时动作)
· MouseOver(鼠标移至图上)
· Exploit(入侵程序)
· Security Flaw(安全漏洞)
在Twitter推特上寻找上述标题,应该就能马上知道出了什么问题。最主要的就是Twitter推特发生了漏洞问题。(编按:Twitter推特目前已宣布修补了该漏洞。)
当你在Tweet推文中加入URL时,Twitter推特会自动辨识。在通过浏览器显示Tweet推文时,就会将URL显示下:
YOUR_LINK(你的链接)
、Twitter推特 onmouseover漏洞
问题是,Twitter推特不会对URL做消毒动作。明确的说,Twitter推特并不会检查引号中的内容,让使用者可以张贴链接,如下:
http://www.a.bc/@”οnmοuseοver=alert(‘Sanitize user input!’)//
Tiwtter推特认定这是个URL,问题在于URL中的惊叹号会造成onmouseover(鼠标移至图上时产生动作)程序被加入到联结标示的()中做为属性,造成可能的攻击。
http://www.a.bc/@”οnmοuseοver=alert(‘Sanitize user input!)//
onmouseover属性指的是一个,当用户移动鼠标光标到联结上时即会进行链接动作的程序,此类通常是JavaScript程序代码。利用这个漏洞,Twitter推特使用者可轻而易举地将JavaScript程序代码加到他们的Tweet推文中(而就我的估算,过去5分钟内就有超过5万名的使用者如此做了。)就像我的简单示范中,就会出现「Sanitize your Input(清理你的输入)!」字样的跳窗显示。
当然,使用者中有些是不怀好意的,不消多时,这些通晓JavaScript的Twitter推特使用者便会知道如何利用这个漏洞。这个URL会让在阅读的用户在将鼠标移到这个危险的连结上时,便将Tweet推文讯息送出。
http://a.bc/@”οnmοuseοver=”document.getElementById(‘status’).value=’RT YourTwitterId’; $(‘.status-update-form’).submit();”class=”modal-overlay”/
这些都还只是无害的行径,但更危险的程序将很快会随之出现。
在此同时,Twitter推特使用者可以:
· 因为这个漏洞是以浏览器为主,在此问题排除前,暂先使用第三者应用程序来阅览Twitter推特。
· 如果你要用自己的浏览器,使用Firefox者可安装NoScript外挂扩充组件来预防JavaScript的运作。
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
