Twitter victime d’une faille XSS

Twitter a été victime d’une faille de sécurité exposant tous ses utilisateurs, via une injection XSS.

Le principe est d’injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d’URL, etc. Si ces données arrivent telles quelles dans la page web transmise au navigateur (par les paramètres d’URL, un message posté, etc.) sans avoir été vérifiées, alors il existe une faille : on peut s’en servir pour faire exécuter du code malveillant en langage de script (du JavaScript le plus souvent) par le navigateur web qui consulte cette page.

Avec cette faille, si on poste sur Twitter depuis une application, l’API permet d’afficher le nom du logiciel utilisé en ajoutant un petit lien vers le site de l’éditeur de celle-ci. Il semblerait que cette fonctionnalité soit la cause de la faille de sécurité du site. C’est en ajoutant au nom du logiciel utilisé qu’un pirate a réussit une injection XSS.

La démonstration de la faille provoque également une animation issue du film  » Matrix « . Il est possible à l’aide de cette opération de voler le compte d’un utilisateur du service qui serait connecté au moment où il visualiserait la page et aussi de propager des logiciels malveillants.

Le compte de  » @0wn3d_5ys  » qui a rendu public la faille et dont le Twitter permettait cette opération a été suprimé du site et la faille a été réparée pour les nouvelles API et Twitter la répare pour les anciennes.

Le hacker a affirmé sur son blog qu’il ne fessait pas ça pour voler des compte, mais pour apprendre.

[Via Praetorianprefect]