В Twitter устранили серьёзную уязвимость
Брешь в безопасности Twitter позволяла внедрять в твиты джаваскрипты, которые, в свою очередь, могли вытворять практически всё, что угодно.
Автор: Михаил Карпов
| Раздел: Статьи |
Дата: 22 сентября 2010 года
Почти каждый пользователь сервиса коротких сообщений Twitter, которому посчастливилось зайти на сайт Twitter.com 21 сентября 2010 года обнаруживал некоторые странности в работе ресурса. Так, страница могла затемняться, а с учётной записи отправлялись странные ретвиты. Некоторым повезло ещё меньше - им приходили ссылки на порносайты и прочий спам.
Уязвимость позволяла осуществлять типичный межсайтовый скриптинг, а именно встраивать в твиты в том числе и джаваскрипты которые затем могли творить практически всё что угодно, в том числе рассылать новые твиты со встроенными джаваскриптами.
Проблема заключалась в следующем: в Twitter с его ограничениями на длину каждого твита (140 знаков) используется техника под названием сокращение URL, так что длинные адреса страниц в интернете выводятся в виде очень коротких кликабельных ссылок.
Как правило, веб-приложения должны проверять текст, поступающий из недостоверных источников, на безопасность, прежде чем выводить его пользователям. В данном случае такая проверка должным образом не осуществлялась.
И если пользователи вводили URL, содержащий символ "@", то Twitter интерпретировал его неверно, так что следующая за "@" часть введённой ссылки могла превращаться в HTML-код, который мог содержать в том числе и джаваскрипты. Этот скрипт интегрировался в страницу на Twitter.com и дальше мог делать всё, на что джаваскрипты в принципе способны.
Как можно использовать эту уязвимость наглядно показал пользователь Twitter Магнус Хольм. В своём аккаунте в Twitter, Хольм написал: "Это не я нашёл XSS-дыру. Я просто написал червя".
Эта уязвимость, впрочем, присутствовала только в старом дизайне сайта. Сейчас пользователей постепенно переводят на новый, однако делается это не за один день. Клиентские приложения эта проблема тоже не затронула.
Сейчас в Twitter исправили ошибку, и на сайт снова можно заходить не опасаясь какого-либо неприятного сюрприза.
Это уже не первый случай, когда сервис испытывает подобные проблемы. В апреле 2009 года аналогичная ситуация уже возникала - из-за другой уязвимости.
Случившееся 21 сентября вновь пробуждает беспокойство о безопасности Twitter, ведь сейчас было доказано, что червь может практически мгновенно распространиться по сайту, общая аудитория которого по размерам превосходит численность населения многих стран мира. Не побегут ли напуганные пользователи с ресурса?
Вряд ли. Наиболее вероятно, что пострадавшие забудут об этой проблеме на следующий день. Впрочем, пока что Twitter везёт - никакая особо вредоносная информация с помощью эксплойтов пока не распространялась. В любом случае, администрации ресурса определённо есть над чем задуматься.