Twitter遭黑客“性骚扰” 白宫发言人中镖

作者:趋势科技

前两天Twitter受到黑客袭击,Twitter遭黑客袭击4.5小时,由于只需鼠标划过(无需点击)就会发作,白宫发言人与前英相夫人也中招 ,该报导指出用户会链接到色情网站或自动发送讯息,还好经过 4 个半小时修复了该零日攻击漏洞。据悉连白宫发言人吉布斯和英国前首相夫人莎拉也受害。

 

根据报导,这起事件导因于一名澳洲中学生所写的Java Script程序遭到黑客利用来。以下是趋势科技资深分析师Robert在事前发生时所写的文章。

-------------------------------------------------------------------------------

 

Twitter Mouseover Flaw Allows Script Injection

 

Robert McArdle (Senior Threat Researcher)

 

在我写此文之时,Twitter推特上出现了许多不太寻常的标题,包括:

 

· XSSCross-Site Scripting,简称XSS,跨站脚本攻击)

· OnMouseOver(鼠标移至图上时动作)

· MouseOver(鼠标移至图上)

· Exploit(入侵程序)

· Security Flaw安全漏洞)

 

 

Twitter推特上寻找上述标题,应该就能马上知道出了什么问题。最主要的就是Twitter推特发生了漏洞问题。(编按:Twitter推特目前已宣布修补了该漏洞。)

 

当你在Tweet推文中加入URL时,Twitter推特会自动辨识。在通过浏览器显示Tweet推文时,就会将URL显示下:

 

YOUR_LINK(你的链接)

 

 Twitter推特 onmouseover漏洞

 

问题是,Twitter推特不会对URL做消毒动作。明确的说,Twitter推特并不会检查引号中的内容,让使用者可以张贴链接,如下:

 

http://www.a.bc/@”οnmοuseοver=alert(‘Sanitize user input!’)//

 

Tiwtter推特认定这是个URL,问题在于URL中的惊叹号会造成onmouseover(鼠标移至图上时产生动作)程序被加入到联结标示的()中做为属性,造成可能的攻击。

 

 

 http://www.a.bc/@”οnmοuseοver=alert(‘Sanitize user input!)//

 

onmouseover属性指的是一个,当用户移动鼠标光标到联结上时即会进行链接动作的程序,此类通常是JavaScript程序代码。利用这个漏洞,Twitter推特使用者可轻而易举地将JavaScript程序代码加到他们的Tweet推文中(而就我的估算,过去5分钟内就有超过5万名的使用者如此做了。)就像我的简单示范中,就会出现「Sanitize your Input(清理你的输入)!」字样的跳窗显示。

 

当然,使用者中有些是不怀好意的,不消多时,这些通晓JavaScriptTwitter推特使用者便会知道如何利用这个漏洞。这个URL会让在阅读的用户在将鼠标移到这个危险的连结上时,便将Tweet推文讯息送出。

 

http://a.bc/@”οnmοuseοver=”document.getElementById(‘status’).value=’RT YourTwitterId’; $(‘.status-update-form’).submit();”class=”modal-overlay”/

 

这些都还只是无害的行径,但更危险的程序将很快会随之出现。

 

在此同时,Twitter推特使用者可以:

 

· 因为这个漏洞是以浏览器为主,在此问题排除前,暂先使用第三者应用程序来阅览Twitter推特。

· 如果你要用自己的浏览器,使用Firefox者可安装NoScript外挂扩充组件来预防JavaScript的运作。

 

本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值