謝至恩Twitter爆發嚴重的跨網站腳本(cross-site scripting, XSS)漏洞,使用者帳號很可能會被劫持,或是植入其他漏洞碼惡搞使用者的電腦。
XSS 安全漏洞允許駭客在網頁中植入惡意程式碼,包括 HTML 碼與用戶端腳本語言。
Twitter 爆發嚴重的跨網站腳本 (cross-site scripting, XSS) 漏洞,使用者帳號很可能會被劫持,或是植入其他漏洞碼惡搞使用者的電腦。
安全科技研究員 Lance James 與 Eric Wastl 首先張貼出用以驗證概念的漏洞碼,表示 Twitter 已經注意到該漏洞,但尚未得到任何回應。
進入漏洞碼概念驗證網頁後,有個文字連結可以讓使用者測試漏洞是否有效,當使用者真的點選該連結,將會把這則「I just got owned!」訊息張貼到該使用者的 Twitter 帳號中。
Twitter 至今仍不發表任何評論。
「該漏洞仍然存在,」Wastl 表示:「基本上,我們所設計的連結路徑能夠劫持 Twitter 的使用者帳號。」James 補充道:「許多人認為 XSS 的危害僅限於 Web 網頁上,但如果某個已經受害的瀏覽器上有其他漏洞,可能會藉由 Twiiter 的漏洞啟動其他的惡意程式碼。」
根據 James 表示,Twitter 的技術作法不夠安全,例如網址重導引的用法等等。「這等於不斷將亂七八糟的使用者行為慢慢養成真正嚴重的安全問題。」James 補充道。