으악 이게 뭐야?!


평화롭게 트윗을 즐기고 있는데 이상한 태그가 절로 트윗 입력창에 나타나더니 제 멋대로 그걸 보내버립니다.


페이지가 검게 변하며 제어할 수 없는 상태가 됩니다.


자동으로 메시지를 보내는 요청을 반복적으로하니, 저렇게 에러가 뜨는군요.



페이지상에 이런 해괴한 기호도 떠오릅니다.


문제의 태그 내용은 이랬습니다.

http://t.co/@"onmouseover="document.getElementById('status').value='RT test_nau';$('.status-update-form').submit();"style="background:red"/

이 내용이 RT된 사람의 닉네임 위에 마우스를 올리면(onmouseover) 호버카드가 활성화 되어 프로필 미리보기가 나타날 때 발동되어 위의 태그를 리트윗하게 됩니다. 문제의 트윗은 http://twitter.com/test_nau 으로 부터 시작되었으며, 2만 5천명 이상에게 리트윗되었습니다.(http://durl.kr/2o5ep)



문제 해결은 PM 10:44, 트위터닷컴 픅에서 XSS공격을 막는 패치를 함으로서 종결되었습니다.
근본적인 해결이 아니라, 호버카드가 활성화 되지 않도록 한 패치입니다.


이번 사건을 일으킨 것은 일본인이었습니다. 트윗에 대한 취약점에 대해 이야기하다 터뜨린 모양입니다.
이번 일로 트윗의 자바 스크립트에 대한 위험성이 고발되었습니다. 금방 끝난 해프닝이었기에 망정이지 악의를 품고 바이러스 등을 유포하는 수단으로 썼다면 큰 피해를 일으켰을 것입니다.

트위터의 XSS에 대한 취약성은 이전에도 지적된 바 있습니다.
스크립트를 이용한 공격에 트위터닷컴은 미리 원천적으로 대비해야 할것입니다.


YOUR COMMENT IS THE CRITICAL SUCCESS FACTOR FOR THE QUALITY OF BLOG POST
  1. Favicon of https://reinia.net BlogIcon 레이니아 2010.09.24 14:02 신고  댓글주소  수정/삭제  댓글쓰기

    저도 긴급 RT가 돌아다니길래 잠시 트위터를 끄고 그날은 쉬었답니다^^;
    워낙 많은 수의 사용자가 쓰고 파급력이 만만치 않은 만큼 저런 문제점이 퍼지기 시작하면
    돌이킬 수 없는 피해를 입곤 하는 것 같아요:)

  2. Favicon of http://gosu1218.tistory.com BlogIcon gosu1218 2010.09.24 20:30 신고  댓글주소  수정/삭제  댓글쓰기

    -_-;; 이런 일이 있었군요;;
    요즘 트위터를 하도 띄엄띄엄해서;; ㅎㅎ

  3. 오류 2012.08.09 21:12  댓글주소  수정/삭제  댓글쓰기

    (script)alert("접속자가 많습니다. 다시 시도해 주세요.") (/script)