研究人員展示Twitter跨站漏洞

兩名來自Secure Sciences的研究人員在上周發表了概念性驗證程式，展示如何攻陷微型部落格Twitter的跨網站漏洞，並指稱駭客可能利用相關漏洞發動蠕蟲攻擊。Twitter尚未發表回應。

Lance James及Eric Wastl所設計的概念性驗證程式只是為了證實Twitter的網站存有跨站scripting漏洞，當使用者主動參與該攻擊測試後，使用者的Twitter會自動出現「XSSExploit; I just got owned!」的訊息，展示使用者帳號可被挾持。

研究人員表示，上述攻擊測試是無害的，但結合Twitter及其在市場上的影響力，駭客可利用該漏洞，在使用者未知的情況下，透過遠端攻擊感染大量的Twitter用戶，或是竊取使用者的Twitter帳號資訊，形成更嚴重的後果。

微型部落格是近年來竄起的新服務，根據Pew Internet & American Life Project在今年2月的調查，其簡短訊息的特性讓微型部落格的用戶更愛用行動電話及無線上網。

資安業者Secure Sciences亦在本月初指出，Twitter連結網路及文字簡訊的功能雖然可讓使用者經常透過行動電話傳送tweets，但該站對於讓手機可使用Twitter網路的認證方法是有缺陷的，而且未考慮到SMS技術既有的詐騙漏洞，使得駭客得以利用任何的裝置建立Twitter帳號，以Twitter為簡訊垃圾訊息中心，並可能導致阻斷式服務攻擊。

Twitter是目前最受歡迎的微型部落格，並成為駭客鎖定的攻擊目標，今年1月Twitter陸續傳出遭受攻擊的事件，先是有駭客針對Twitter執行網釣攻擊，之後Twitter甚至遭受駭客入侵，竄改了包括美國總統歐巴馬在內的33個使用者帳號資訊。（編譯/陳曉莉）