Twitter يتعرض لهجوم XSS يعيد نشر التغريدات بشكل آلي

الوقت المقدّر لقراءة هذا المقال: 2 دقيقة و 2 ثانية

Twitter يتعرض لهجوم XSS يعيد نشر التغريدات بشكل آلي

تعرضت خدمة التغريد المصغر Twitter منتصف اليوم إلى هجوم XSS يستغل ثغرة في نظام تقصير الروابط الجديد الذي تعتمده Twitter، و التي تسمح بنشر شفرة JavaScript تظهر نصا مظللا بالأسود و تقوم بإعادة نشر التغريدة المسبب للمشكل بشكل آلي بمجرد تمرير مؤشر الفأرة عليها.

مثال عن التغريدات المصابة

التغريدات المسببة للمشكل كانت مشابهة للتغريدة التالية:

http://t.co/@"onmouseover="document.getElementById('status').value='RT onesque';$('.status-update-form').submit();"font-size:500pt;/

و لقد ظهرت بعدها بشكل سريع أنواع عديدة منها بعضها يروج لمواقع إباحية. و بعضها يقوم بإعادة نشر التغريدة بشكل مباشر من دون تمرير مؤشر الفأرة.

و لقد أعلنت Twitter أنها قامت بحل المشكل حوالي الساعة الثانية مساء بتوقيت غرينتش ،و هذا بعد أن أصيبت آلاف الحسابات ، و لم يشمل الأمر سوى المغردين الذين يستعلمون موقع Twitter.com مباشرة لنشر تغريداتهم.

ليست هذه المرة الأولى التي يصاب فيها Twitter بهذا النوع من الهجمات فلقد سبق و أن نبهت Kaspersky إلى وجود استغلال لثغرة مشابهة في الـ 7 من سبتمبر الماضي أصابت زهاء 11 ألف حساب

الفيديو التالية (معدة من طرف Sophos) تلقي نظرة على الثغرة و كيفية انتشارها:

أغتنم الفرصة لأذكر بأنه يمكن متابعة آخر أخبار المجلة التقنية على حسابها على Twitter من هنا


عن كاتب المقال:

مُهندس برمجيات/مُبرمج جزائري

تابع الكاتب على:
Twitter +Google