How The Self-Retweeting Tweet Worked: Cross-Site Scripting (XSS) and Twitter
这项攻击周四在Secure Science的研究人员上发布,这是一种无害的概念证明,强迫用户发送预定的Twitter消息,但它可能会被重用为一种非常讨厌的蠕虫,Secure Science的首席科学家兰斯詹姆斯说,“你可以将攻击与我们的代码结合在一起,它只会把Twitter扔掉,”他说。
[更多阅读:如何从您的Windows PC中移除恶意软件]
该攻击类似于上个月在Twitter上发起的一次点击劫持攻击。在那里,黑客使用一种偷偷摸摸的技巧来欺骗用户点击链接而不知道它。该链接将在Twitter消息中发布“不要单击”以及URL。
这一次,Secure Science的研究人员发现了一种利用Twitter支持站点上的Web编程错误来发布不需要的消息的方法。在发出警告消息之后,Secure Science的测试代码发布消息:“我拥有的@XSSExploits!”到受害者的个人资料。但是,詹姆斯说,恶意用户可能会使这个bug更糟。攻击可以修改,以便没有警告屏幕,并且可以通过一个令用户更可能点击的令人感兴趣的消息加强攻击。詹姆斯说,如果它与恶意浏览器攻击代码相结合,它可能被用来控制受害者的机器。“我屏住呼吸,希望此刻没有人做一些愚蠢的事情,”他说。
Twitter可以通过解决安全科学研究人员正在利用的跨站点脚本漏洞来禁用攻击,但是如果在网站上弹出另一个类似的漏洞,用户将再次面临同样的问题。
由于Twitter的140个字符限制,Twitterers使用Tinyurl.com等缩短的Web链接,并且通常不知道他们是否点击了可信的Web链接,因此这个问题变得更糟。
Twitter的随着服务已经获得主流的普及,安全实践近来备受关注。 1月份,黑客获得了当选总统巴拉克奥巴马,福克斯新闻和CNN的账户后,公司进行了全面的安全审查。詹姆斯表示,他希望他的演示能够推动Twitter将安全作为重中之重。
“我们不想对Twitter造成任何损害,”他说,“