Twitter爆發嚴重漏洞將導致使用者帳號遭劫持

Twitter爆發嚴重的跨網站腳本(cross-site scripting, XSS)漏洞,使用者帳號很可能會被劫持,或是植入其他漏洞碼惡搞使用者的電腦。

XSS安全漏洞允許駭客在網頁中植入惡意程式碼,包括HTML碼與用戶端腳本語言。

Twitter爆發嚴重的跨網站腳本(cross-site scripting, XSS)漏洞,使用者帳號很可能會被劫持,或是植入其他漏洞碼惡搞使用者的電腦。

安全科技研究員Lance James與Eric Wastl首先張貼出用以驗證概念的漏洞碼,表示Twitter已經注意到該漏洞,但尚未得到任何回應。

進入漏洞碼概念驗證網頁後,有個文字連結可以讓使用者測試漏洞是否有效,當使用者真的點選該連結,將會把這則「I just got owned!」訊息張貼到該使用者的Twitter帳號中。

Twitter至今仍不發表任何評論。

「該漏洞仍然存在,」Wastl表示:「基本上,我們所設計的連結路徑能夠劫持Twitter的使用者帳號。」James補充道:「許多人認為XSS的危害僅限於Web網頁上,但如果某個已經受害的瀏覽器上有其他漏洞,可能會藉由Twiiter的漏洞啟動其他的惡意程式碼。」

根據James表示,Twitter的技術作法不夠安全,例如網址重導引的用法等等。「這等於不斷將亂七八糟的使用者行為慢慢養成真正嚴重的安全問題。」James補充道。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416