본문 바로가기

¤ 배우고 찾으며/IT 세상의 노하우

트위터에 XSS 공격이 있었습니다.


으악 이게 뭐야?!


평화롭게 트윗을 즐기고 있는데 이상한 태그가 절로 트윗 입력창에 나타나더니 제 멋대로 그걸 보내버립니다.


페이지가 검게 변하며 제어할 수 없는 상태가 됩니다.


자동으로 메시지를 보내는 요청을 반복적으로하니, 저렇게 에러가 뜨는군요.



페이지상에 이런 해괴한 기호도 떠오릅니다.


문제의 태그 내용은 이랬습니다.

http://t.co/@"onmouseover="document.getElementById('status').value='RT test_nau';$('.status-update-form').submit();"style="background:red"/

이 내용이 RT된 사람의 닉네임 위에 마우스를 올리면(onmouseover) 호버카드가 활성화 되어 프로필 미리보기가 나타날 때 발동되어 위의 태그를 리트윗하게 됩니다. 문제의 트윗은 http://twitter.com/test_nau 으로 부터 시작되었으며, 2만 5천명 이상에게 리트윗되었습니다.(http://durl.kr/2o5ep)



문제 해결은 PM 10:44, 트위터닷컴 픅에서 XSS공격을 막는 패치를 함으로서 종결되었습니다.
근본적인 해결이 아니라, 호버카드가 활성화 되지 않도록 한 패치입니다.


이번 사건을 일으킨 것은 일본인이었습니다. 트윗에 대한 취약점에 대해 이야기하다 터뜨린 모양입니다.
이번 일로 트윗의 자바 스크립트에 대한 위험성이 고발되었습니다. 금방 끝난 해프닝이었기에 망정이지 악의를 품고 바이러스 등을 유포하는 수단으로 썼다면 큰 피해를 일으켰을 것입니다.

트위터의 XSS에 대한 취약성은 이전에도 지적된 바 있습니다.
스크립트를 이용한 공격에 트위터닷컴은 미리 원천적으로 대비해야 할것입니다.