瘋狂的一天!在 9 月 21 日星期二的幾個小時內,社交網路 Twitter 的數萬名用戶成為幾種特別快速且有效的網路蠕蟲的受害者。這個微博網站表示已經解決了這個問題,但這個缺陷只影響了Twitter.com 網站,而不影響客戶端軟體(例如TweetDeck 或Seesmic Desktop),在社交網路上造成了一種恐慌,人們為之瘋狂。
在至少四、五個小時的時間裡,數以萬計的用戶驚訝地發現,他們絕對沒有寫過的消息發佈在他們的個人資料上。這些搞笑的推文(請參閱我們的捕獲)採用不同的形式,但所有隱藏的 Javascript 程式碼都會在您將滑鼠遊標懸停在其上時啟動!
它們的影響是多種多樣的:當一些推文推出了一個簡單的彈出視窗或者打開一個通往色情網站的新窗口,其他人在個人資料上顯示巨大的字母!此外,這些大多數推文透過建立自動複製轉發立即發送給受感染用戶的所有訂閱者。
考慮到 Twitter 遭受的攻擊的規模和種類,我們無法判斷其中一些攻擊是否無意造成更大的傷害。在他的部落格上,F-Secure 發現了原始攻擊之一,這些推文塗黑以隱藏代碼,程式設計師 Magnus Holm 的工作,誰吹噓感謝推出了第一個「Twitter 蠕蟲」。他並沒有惡意,只是煩人,但仍然設法在幾分鐘內「污染」了 40,000 多個個人資料,然後又「污染」了數十萬個,這種現像在網站上規模空前。
馬格努斯·霍爾姆(Magnus Holm)仍然在推特上保證了這一點: «我沒有發現 XSS [跨站腳本] 缺陷,我只是創建了蠕蟲病毒。»幾分鐘後,也許是被它的創造所淹沒,才開始擔心:«哇,其他幾種蠕蟲現在正在傳播,我不確定它們是否像我的一樣無害。»事實上,他是一名17歲的澳洲少年, @札普,誰首先發現了這個缺陷並利用了它,結果卻創造了的推文彩虹。
Twitter 需要安全嗎?
誰該為這個巨大的混亂負責?毫無疑問,在推特上。這一切都始於昨天該網站上出現的一個嚴重漏洞。 Sophos 的安全顧問 Stéphan Roux 告訴我們:«Twitter 昨天對其服務代碼的重要部分進行了謹慎但重大的更新。»正是這個更新允許這些 XSS 攻擊。這是透過 Javascript OnMouseOver 命令完成的,該命令允許開發人員對滑鼠遊標經過某個區域時觸發網站上的操作進行程式設計。
「聰明的人會花時間使用旨在尋找網站漏洞的自動化工具。 Twitter 似乎是此類軟體的受害者。史蒂芬魯 (Stephan Roux) 先進。換句話說,這個 Twitter 缺陷特別容易被發現,即使對一個人來說也是如此。駭客萌芽如札普…
推特宣布至少可以說,以簡潔的方式修正了這個缺陷。據該網站稱,這並不是第一次安全挫折。 2009 年,他已經成為一次重大「漏洞」的受害者,該漏洞允許某人在訪問另一個個人資料頁面時感染他人的個人資料。當時,米基蠕蟲無害但麻煩,已經污染了數以萬計的人。時間表...與此相比沒有三倍#Twitpocalypse今天登陸網路!
以下是該壯舉的影片:
