Сайт микроблогов Twitter подвержен потенциально разрушительной уязвимости,
которая заставляет залогинившихся пользователей публиковать на сайте сообщения
лишь кликнув по ссылке.
Ошибка в межсайтовом скриптинге была обнаружена экспертами Secure Sciences
Corp Лэнсом Джеймсом и Эриком Уостлом, которые для ее демонстрации подготовили
эту ссылку. Будучи
залогиненым и кликая по ней, пользователь публикует от своего имени безвредное
сообщение следующего
содержания.
Естественно, переделать ссылку в нечто более опасное очень просто. Сообщения
в Tweets ограничены 140 символами, поэтому использование в них скрывающих
конечный адрес укороченных ссылок практически обязательно. И хотя существует
возможность просматривать полные ссылки, прежде чем кликать по ним, многие так к
этому привыкли, что переходят по ссылкам напрямую.
С ростом числа пользователей Twitter растет и число попыток взлома ресурса.
Хакеры играют с сайтом в кошки мышки, используя технологию клик-джекинга,
которая так же, как и межсайтовый скриптинг, заставляет пользователей
публиковать сообщения ,просто кликая по безобидной с виду кнопке. Twitter
оперативно закрывает эти уязвимости, однако, несмотря на все контрмеры, хакерам
все же удается запускать свои атаки.
