Das Einfügen von Scripts in Tweets ermöglicht Angriffe

Originalartikel von Robert McArdle (Senior Threat Researcher bei Trend Micro)

Twitter kämpft derzeit mit einigen Problemen bezüglich Cross Site Scripting (XSS) und dem Missbrauch der Funktion OnMouseOver sowie MouseOver in der Skriptsprache JavaScript.

Es gibt eine Lücke in Twitter, die das Einfügen von JavaScript-Code in einen Tweet ermöglicht. Dies funktioniert folgendermaßen: Setzt ein Nutzer eine URL in seinen Tweet, erkennt Twitter dies und, sobald der Tweet über einen Browser angezeigt wird, verpackt der Dienst die dort enthaltene URL, wie folgt:

<a href=”YOUR_LINK” class=”tweet-url” rel=”nofollow” target=”_blank”>YOUR_LINK</a>

Das Problem dabei ist jedoch, dass der Dienst die URL vorher nicht “säubert”. Vor allem prüft er nicht, ob Anführungszeichen vorhanden sind, über die ein Nutzer etwa folgenden Link publizieren kann:

http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!’)//

Twitter erkennt die Zeile als URL und packt sie in einen Link. Doch das Ausrufezeichen darin bewirkt, dass das onmouseover-Bit in die Link-Markierung () als Attribut eingefügt wird.

<a href=”http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//” class=”tweet-url web” rel=”nofollow” target=”_blank”>http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//</a>

OnMouseOver löst im Internetbrowser schon dann eine Aktion aus, wenn ein Nutzer die Maus lediglich über den Link führt – und ermöglicht damit einen Angriff. Twitter-Nutzer können nämlich über diese Schwachstelle einfach JavaScript-Code in ihre Tweets einfügen. In diesem harmlosen Beispiel würde ein Fenster aufgehen, das den Satz “Sanitize your Input!” anzeigt. Natürlich lässt sich das auch für gefährliche Angriffe tun. Folgende URL würde bewirken, dass ein Nutzer eine Nachricht verschickt, sobald er die Maus über den gefährlichen Link geführt hat:

http://a.bc/@”onmouseover=”document.getElementById(‘status’).value=’RT YourTwitterId’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Trend Micro rät Twitter-Nutzern dringend, eine der Empfehlungen zu beherzigen:

  • Für Twitter eine Anwendung eines Drittanbieters zu nutzen, denn die Lücke bezieht sich lediglich auf Browser,
  • Will ein Nutzer dennoch seinen Browser weiter nutzen, so sollte die NoScript-Erweiterung für Firefox installiert werden, um die Ausführung von JavaScripts zu verhindern.

Twitter berichtet, die Sicherheitslücke sei gerade geschlossen worden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*