Twitter遭黑客“性骚扰” 白宫发言人中镖

作者：趋势科技

前两天Twitter受到黑客袭击，Twitter遭黑客袭击4.5小时，由于只需鼠标划过（无需点击）就会发作，白宫发言人与前英相夫人也中招 ,该报导指出‎用户会链接到网站或自动发送讯息，还好经过 4 个半小时修复了该零日攻击漏洞。据悉连白宫发言人吉布斯和英国前首相夫人莎拉也受害。

根据报导，这起事件导因于一名澳洲中学生所写的Java Script程序遭到黑客利用来。以下是趋势科技资深分析师Robert在事前发生时所写的文章。

-------------------------------------------------------------------------------

Twitter Mouseover Flaw Allows Script Injection

Robert McArdle (Senior Threat Researcher)

在我写此文之时，Twitter推特上出现了许多不太寻常的标题，包括：

· XSS（Cross-Site Scripting，简称XSS，跨站脚本攻击）

· OnMouseOver（鼠标移至图上时动作）

· MouseOver（鼠标移至图上）

· Exploit（入侵程序）

· Security Flaw（安全漏洞）

在Twitter推特上寻找上述标题，应该就能马上知道出了什么问题。最主要的就是Twitter推特发生了漏洞问题。(编按：Twitter推特目前已宣布修补了该漏洞。)

当你在Tweet推文中加入URL时，Twitter推特会自动辨识。在通过浏览器显示Tweet推文时，就会将URL显示下：

YOUR_LINK（你的链接）

、Twitter推特 onmouseover漏洞

问题是，Twitter推特不会对URL做消毒动作。明确的说，Twitter推特并不会检查引号中的内容，让使用者可以张贴链接，如下：

http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!’)//

Tiwtter推特认定这是个URL，问题在于URL中的惊叹号会造成onmouseover（鼠标移至图上时产生动作）程序被加入到联结标示的（）中做为属性，造成可能的攻击。

http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//

onmouseover属性指的是一个，当用户移动鼠标光标到联结上时即会进行链接动作的程序，此类通常是JavaScript程序代码。利用这个漏洞，Twitter推特使用者可轻而易举地将JavaScript程序代码加到他们的Tweet推文中（而就我的估算，过去5分钟内就有超过5万名的使用者如此做了。）就像我的简单示范中，就会出现「Sanitize your Input（清理你的输入）！」字样的跳窗显示。

当然，使用者中有些是不怀好意的，不消多时，这些通晓JavaScript的Twitter推特使用者便会知道如何利用这个漏洞。这个URL会让在阅读的用户在将鼠标移到这个危险的连结上时，便将Tweet推文讯息送出。

http://a.bc/@”onmouseover=”document.getElementById(‘status’).value=’RT YourTwitterId’; $(‘.status-update-form’).submit();”class=”modal-overlay”/

这些都还只是无害的行径，但更危险的程序将很快会随之出现。

在此同时，Twitter推特使用者可以：

· 因为这个漏洞是以浏览器为主，在此问题排除前，暂先使用第三者应用程序来阅览Twitter推特。

· 如果你要用自己的浏览器，使用Firefox者可安装NoScript外挂扩充组件来预防JavaScript的运作。

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！