本周二(9/21)有蠕蟲作者開始攻擊Twitter的跨站腳本(cross-site scripting,XCC)漏洞,當使用者滑鼠移過Twitter訊息時,會跳出另外一個視窗,並引起其他人效仿,而陸續出現不同的攻擊形式,但其中大多數是無害的。
一名17歲的高中學生Pearce Delphin向媒體宣稱他是該XCC攻擊的始作俑者,Delphin說他是受到一名日本用戶的彩虹程式碼的啟發,該程式可讓訊息背景的顏色不同。因此,首個攻擊Twitter的方式就是讓訊息背景顏色變暗,以讓使用者看不清訊息,該訊息嵌入了"onmousover"的Javascript命令,當使用者進一步將滑鼠移到訊息上方時,就會跳出一個視窗,寫著"uh oh"。
隨後就出現更多採用onmousover命令的Twitter蠕蟲攻擊,有作者製造出可自動複製並張貼該訊息的程式,也有作者打造出將使用者導向線上問卷的訊息,而這些都只需要使用者將滑鼠移過訊息就會發生。
Twitter當天就修補了該XSS漏洞。Twitter說明,該公司上個月就曾修補該漏洞,但近日上線的新版卻忘了更新。不過,相關攻擊只會影響Twitter本站,而未波及Twitter行動網站或行動應用程式;目前尚未得知有任何相關的攻擊可危害使用者帳戶或電腦系統,因此也不用更改密碼。(編譯/陳曉莉)
熱門新聞
2025-02-24
2025-02-24
2025-02-23
2025-02-21
Advertisement