Wurm fährt XSS-Angriff auf Twitter

SicherheitGestern hat es wohl Twitter getroffen – ein Wurm hat eine Cross-Site-Scripting-Lücke (XSS) genutzt, um unter tausenden von Twitter-Konten Tweets mit eigenen Nachrichten zu verbreiten.


Anzeige

Laut arstechnica.com waren 84.700 Benutzer von diesem Angriff betroffen. Der Wurm twitterte dann diese Textnachricht, die der Benutzer @derGeruhn gepostet hatte.  Der Ursprungs-Tweet enthielt JavaScript, das bei allen Benutzerkonten, die zu dieser Zeit über TweetDeck bei Twitter angemeldet waren, ausgeführt wurde und den Code als Re-Tweet verbreitete. Alleine der BBC-News Twitter-Kanal jagte die Meldung dann an über 1 Million Follower raus.

Das war der erste Wurm-Angriff auf Twitter bzw. den TweetDeck-Client. Der Code des Wurms basierte auf einem Clickjacking Exploit und einem XSS-Angriff, Techniken, die bereits 2009 dokumentiert und 2011 zum Versenden von Nachrichten genutzt wurden. Aktuell lag es an einem Bug in TweetDeck, so dass der JavaScript-Code nicht korrekt ausgefiltert wurde und zur Verbreitung der Tweets benutzt werden konnte. Der Vorfall unterstreicht, wie anfällig viele Webanwendungen gegen XSS-Angriffe sind.


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.