推特 XSS漏洞在野外挖掘

导致下载恶意JavaScript有效载荷的恶意链接已经在各种推特账户上弹出,警告 卡巴斯基‘s Stefan Tanase.

有效载荷使用XSS漏洞来窃取Twitter Cookie并将其传输到两个服务器(其中一个在巴西托管)。然后将饼干用于劫持用户’会话并在葡萄牙语中发布一条消息,声称,一个受欢迎的巴西流行乐队的成员一直处于悲惨事故:

将这些线索与两个域名在巴西名称下注册的知识结合起来,认为攻击起源于该国似乎很公平。

根据咬人’S统计数据,这些消息中的恶意缩短链接之一已被单击超过100.000次,这意味着至少可能存在许多受损的账户。

幸运的是,Twitter已经修复了漏洞。

分享这个