XSS-gat in Twitter al maanden bekend

twitter dood

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Woensdag 22 september 2010
Auteur: Sander van der Meijs

Het gat in Twitter waar gisteren een heel bataljon wormen doorheen kon marcheren was in Augustus al gefixt, maar is per ongeluk weer opnieuw geïntroduceerd.

De problemen op Twitter van gisteren werden veroorzaakt door meerdere wormen, die allemaal de cross-site scripting kwetsbaarheid gebruikten in de 'onmouseover' techniek van Twitter, dat berichtte het beveiligingsbedrijf FSecure. Gebruikers hoefden niet eens te klikken op een link, het was al voldoende dat ze met hun cursor over de kwaadaardige tweets gingen. Die werden dan direct geretweet.

Espen Antonsen die het misbruik vroeg meldde, zegt dat de eerste wormen proof-of-concepts waren. Daarna kwamen nieuwe versies op het toneel met meer kwaadaardige bedoelingen, die de pc naar pornosites en kwaadaardige websites stuurde.

Opnieuw geïntroduceerd

De Guardian meldt dat de kwetsbaarheid is ontdekt door de Japanse ontwikkelaar Masato Kinugawa. Die heeft de fout op 14 augustus aan Twitter gemeld. Het hoofd van beveiliging van Twitter zegt in een blogpost, waarin hij het incident uitlegt, dat de bug na die melding is gedicht, maar dat die er bij een volgende update weer in terug is gerold.

Kinugawa ontdekte de bug opnieuw op 14 september toen de 'nieuwe' Twitter werd gelanceerd. Gistermiddag Japanse tijd heeft hij vervolgens een Twitteraccount aangemaakt met de naam 'Rainbow Twtr', en heeft hij zijn proof-of-concept losgelaten, waarmee hij liet zien dat je met deze XSS-kwetsbaarheid tweets andere kleuren kon geven. Het proof-of-concept kwam online toen het aan de westkunst van de VS, waar Twitter is gebaseerd, nacht was, en niemand op zulke incidenten lette.

Scary

Terwijl de beveiligers van Twitter sliepen, werd de kwetsbaarheid snel opgepakt door anderen. De eerste die er gebruik van maakte was de ontwikkelaar Magnus Holm, die op het idee kwam om de code uit te breiden zodat de tweet automatisch geretweet werd door de mousover. Eerst dacht hij dat het niet goed ging, "meh, this worm doesn't really scale. The users can just delete the tweet :(", twitterde hij. Vervolgens bleek dat de worm zich razendsnel verspreidde. "holy shit. I think this is exponential: "3381 more results since you started searching."", was zijn volgende boodschap. Daarna: "This is scary".

Daarna kwamen er wormen op Twitter die mensen doorstuurden naar een Russische site, en andere die mensen lastig vielen met Japanse porno. Weer een andere veranderde de hele Twitter-pagina in een link.

Bron: Techworld

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)