В Twitter найдена XSS-уязвимость

В блог-сервисе Twitter обнаружена XSS-уязвимость. Она позволяет внедрить вредоносный JavaScript-код прямо в сообщение. При эксплуатации уязвимости хакер может получить доступ к аккаунтам пользователей на Twitter. Об ошибке впервые сообщил Джеймс Слейтер (James Slater). По словам Слейтера, уязвимость позволяет внедрить JavaScript-код в сообщение путем добавления кода в API, который используется разработчиками Twitter. Если браузер пользователя сервиса выполнит вредоносный код, то жертва будет перенаправлена на вредоносный сайт, где под видом запроса от Twitter жертве будет предложено предоставить персональные данные.

"Twitter сделал одну из самых основных ошибок при разработке веб-приложений – никогда нельзя слепо доверять данным, которые предоставляются извне. Всегда нужно проверять, что пользователи вводят в поле", пишет Слейтер. Он сказал, что хотя в Twitter и утверждали, что проблема будет решена после того как он опубликовал информацию о ней в своем блоге 25 августа 2009 года, исправления ошибки пока не было.

Эксперты по информационной безопасности утверждают, что XSS-уязвимости (Сross Site Sсriрting — "межсайтовый скриптинг") очень опасны, особенно в социальных сетях, поскольку их популярность и посещаемость стремительно растут. В самом Twitter сказали, что информацию об уязвимости они получили и сейчас работают над ее устранением.