В Twitter устранили серьёзную уязвимость

Автор: Михаил Карпов

Опубликовано 22 сентября 2010 года

Почти каждый пользователь сервиса коротких сообщений Twitter, которому посчастливилось зайти на сайт Twitter.com 21 сентября 2010 года обнаруживал некоторые странности в работе ресурса. Так, страница могла затемняться, а с учётной записи отправлялись странные ретвиты. Некоторым повезло ещё меньше - им приходили ссылки на порносайты и прочий спам.

Уязвимость позволяла осуществлять типичный межсайтовый скриптинг, а именно встраивать в твиты в том числе и джаваскрипты которые затем могли творить практически всё что угодно, в том числе рассылать новые твиты со встроенными джаваскриптами.

Проблема заключалась в следующем: в Twitter с его ограничениями на длину каждого твита (140 знаков) используется техника под названием сокращение URL, так что длинные адреса страниц в интернете выводятся в виде очень коротких кликабельных ссылок.

Как правило, веб-приложения должны проверять текст, поступающий из недостоверных источников, на безопасность, прежде чем выводить его пользователям. В данном случае такая проверка должным образом не осуществлялась.

И если пользователи вводили URL, содержащий символ "@", то Twitter интерпретировал его неверно, так что следующая за "@" часть введённой ссылки могла превращаться в HTML-код, который мог содержать в том числе и джаваскрипты. Этот скрипт интегрировался в страницу на Twitter.com и дальше мог делать всё, на что джаваскрипты в принципе способны.

Как можно использовать эту уязвимость наглядно показал пользователь Twitter Магнус Хольм. В своём аккаунте в Twitter, Хольм написал: "Это не я нашёл XSS-дыру. Я просто написал червя".

Эта уязвимость, впрочем, присутствовала только в старом дизайне сайта. Сейчас пользователей постепенно переводят на новый, однако делается это не за один день. Клиентские приложения эта проблема тоже не затронула.

Сейчас в Twitter исправили ошибку, и на сайт снова можно заходить не опасаясь какого-либо неприятного сюрприза.

Это уже не первый случай, когда сервис испытывает подобные проблемы. В апреле 2009 года аналогичная ситуация уже возникала - из-за другой уязвимости.

Случившееся 21 сентября вновь пробуждает беспокойство о безопасности Twitter, ведь сейчас было доказано, что червь может практически мгновенно распространиться по сайту, общая аудитория которого по размерам превосходит численность населения многих стран мира. Не побегут ли напуганные пользователи с ресурса?

Вряд ли. Наиболее вероятно, что пострадавшие забудут об этой проблеме на следующий день. Впрочем, пока что Twitter везёт - никакая особо вредоносная информация с помощью эксплойтов пока не распространялась. В любом случае, администрации ресурса определённо есть над чем задуматься.