TwitterでのアクティブなXSS

スクリーンショット（ lc0d3rに感謝）：


例： twitter.com/mr_the/status/25105420721 （アラートのみあります）

すべてはここから始まりました（cssを介した一般的な着色） twitter.com/RainbowTwtr 、著者は不明です。

このようなツイートを投稿するだけです：

 http://twitter.com/mr_the#@"onmouseover="jAvascript:alert('Ha-ha！XSS！ '）; "/

そして多くの喜びがあります。

実際、その理由は、適切なフィルタリングが行われていない、不十分なリンクパーサーです。

セキュリティ上の理由から、twitter.comでJavaScriptを一時的に無効にすることをお勧めします。

UPD ：NewTwitterではxssは機能しません。
UPD2 ：15:52（キエフ）に、そのようなツイートを送信する機能は終了しました。 古いものはまだ動作します。
UPD3 ：キエフの16:46、脆弱性は公式にクローズされました-status.twitter.com/post/1161435117/xss-attack-identified-and-patched