Twitterdeck发现跨站脚本漏洞,XSS蠕虫“热帖”被转发数万次
作者:星期五, 六月 13, 20140

xss-tweet

在安全牛的眼里,TwitterDeck的存在是Twitter为数不多的优于微博的地方,也是很多IT行业人士和营销人士不可或缺的强大社交情报监测工具。但是近日TwitterDeck的Chrome插件爆出跨站脚本漏洞,攻击者发出的含有特定脚本代码的推文被TwitterDeck接收后会自动转发,行为类似蠕虫,近年来已不多见。

据悉攻击者创建的包含XSS蠕虫脚本的推文(题图),目前已经被被自动转发了超过3.8 万次。,可谓是名副其实的“病毒营销”。

类似的攻击其实已有历史先例,2006年山米蠕虫(Samy Worm)就曾把MySpace搅得鸡犬不宁,类似的跨站蠕虫也曾在百度贴吧出现过。

一些安全专家将TwitterDeck的漏洞归咎于Twitter的客户端政策,Twitter从诞生到今天其客户端和API政策对于第三方开发者来说可谓翻脸无情,Twitter通过收紧API掐死了大多数第三方客户端,仅留下了TwitterDeck这个自家产品(通过收购),但种做法得罪了大批当初追随Twitter的开发者,也直接导致TwitterDeck之外再也难觅优秀的客户端。更糟糕的是,Twitter收购TwitterDeck后就将其打入冷宫,几乎停止了该产品的主要开发活动,这也意味着TwitterDeck的漏洞很难被即使发现和修补。

不过TweetDeck声称已经修复了这个漏洞,建议用户退出重新登录。此外,TweetDeck漏洞只波及Google Chrome浏览器插件,不影响桌面客户端,桌面端用户暂时不用惊慌。

关键词:

相关文章

写一条评论

 

 

0条评论