OnMouseOver XSS exploit op twitter

21 september lijkt de dag te worden dat twitter kennismaakte met een “leuke” XSS-exploit.

Het komt erop neer dat gebruikers van de twitter.com website door over bepaalde tweets met een bepaald stukje OnMouseOver javascript te gaan, deze OnMouseOver-javascript code een xss-exploit uitvoerde.

Hiermee wordt jou sessie op de twitter.com website doorgegeven aan de hacker-website en neemt deze jou sessie op de twitter-website overnemen en kan hij via twitterberichten verder verspreiden via jou account.

update
Het blijkt een schitterend eenvoudige xss-exploit geweest te zijn:

1ste bericht was niet meer dan:
http://judofyr.net/@”style=”background:#000;color:#000;/

Twitter does not encode the URL and whatever is after the @ gets included in the anchor. So css and javascript can be included.

Onderstaande screenshot laat mooi de verspreide berichten zien met de OnMouseOver-code.

Schitterend exploit die natuurlijk blijft groeien door alle nieuwsgierige gebruikers die nu naar twitter.com surfen en zelf getroffen worden.

Gelukkig wordt de populaire twittertool tweetdeck (die ik zelf ook gebruik) niet getroffen, doordat deze geen javascript code gaat uitvoeren.

Nog wat extra waarschuwingen:

Some users are also seemingly deliberately exploiting the loophole to create tweets that contain blocks of colour (known as “rainbow tweets”). Because these messages can hide their true content they might prove too hard for some users to resist clicking on them.

update
Twitter heeft het blijkbaar reeds (voorlopig?) gedicht.

We’ve identified and are patching a XSS attack; as always, please message @safety if you have info regarding such an exploit.