早上一如往常，我會登錄各類社交網(wǎng)絡(luò)。當(dāng)我使用TweetDect登錄Twitter后，彈出了一個提示框，顯示“XSS on Tweet Deck.”這讓我感到很惱火，因為顯然這不是正常的歡迎屏幕。

經(jīng)過一番研究，我發(fā)現(xiàn)我收聽的其中一個帳號包含了下面的Javascript代碼。TweetDeck沒有過濾輸入導(dǎo)致代碼在瀏覽器中直接執(zhí)行了。

只要有人把下面的代碼通過Tweet發(fā)送出去，其他用戶通過TweetDeck查看就會中招。從下面的Tweet中可以看出，已經(jīng)有接近4萬用戶中招并進(jìn)行了自動轉(zhuǎn)發(fā)，該數(shù)字還在不斷攀升。

正如你所看到的，這次XSS攻擊能夠通過data-action:retweet進(jìn)行自動轉(zhuǎn)發(fā)，從而在用戶登錄TweetDeck并查看該惡意Tweet后會引發(fā)連鎖反應(yīng)。這是一次非常嚴(yán)重的安全事件，已經(jīng)導(dǎo)致了Twitter上爆發(fā)大規(guī)模蠕蟲，TweetDeck官方已經(jīng)對此做了聲明。

這次XSS問題產(chǎn)生的原因是當(dāng)Tweet中插入了Unicode字符“♥”，Twitter會將其自動轉(zhuǎn)換為心形的圖案，并導(dǎo)致HTML過濾器失效。