如果你使用過這個WordPress插件，你必須盡快更改你的Twitter密碼！

軟件應用程序，網站和在線平台應該是生機勃勃的東西。如果他們要生存，他們需要更新並適應互聯網每天投擲的不同事物。讓他們休眠，遲早，他們會給你或其他人帶來很多麻煩。一位法國研究員通過Twitter處理@ fs0c131y向我們展示了舊軟件存在多大問題。

Table of Contents

什麼是社交媒體標籤？

他在社交媒體標籤中發現了一個安全漏洞，這是一個WordPress插件，於2012年首次發布。社交媒體標籤旨在將小標籤整合到WordPress網站中，該網站在用戶點擊它們時展示所有者的社交媒體供稿。發布後，社交媒體標籤獲得了一些積極評價，在接下來的幾個月裡，開發它的香港公司Design Chemical推出了一些新功能。然而，根據變更日誌，發展於2013年8月被查封。

社交媒體標籤做錯了什麼？

毋庸置疑，為了顯示您的推文和帖子，該插件必須能夠訪問您的社交媒體帳戶。在這些頁面上，我們討論了一些示例，向我們展示了當您使用軟件訪問數據時需要多麼謹慎，但很明顯，大多數人根本不會認真對待這個問題，尤其是在某些事情發生時看起來像WordPress插件一樣無害。正如您現在所看到的，這是一個很大的錯誤。

在社交網絡選項卡的情況下，問題的根源在於插件存儲其訪問Twitter的訪問權限的方式 - 允許用戶查看所有推文的令牌。出於某種原因，從頁面的源代碼中可以看到訪問令牌以及配置文件句柄。眾所周知，源代碼總是只需點擊幾下即可。

根據TechCrunch的Zack Whittaker的說法，儘管目前還沒有積極開發社交媒體標籤，但它仍然設法獲得了大量的下載量。事實上，當@ fs0c131y首次發現錯誤時，他進行了掃描，發現了不到540個易受攻擊的網站。

然後，他編寫了一個概念驗證腳本，該腳本貫穿上述網站，並刪除了暴露的數據。幾分鐘後，他獲得了超過400個推特賬號的訪問權限，但他很想知道他能用他們做什麼樣的惡作劇。他選擇了一條推文並使用令牌“贊”它超過100次，這確保了他有讀/寫權限。有些帳戶幾乎被遺忘了，儘管在研究時，有些人發布了一些相當奇怪的推文。並非所有受影響的配置文件都是休眠有幾個經過驗證的帳戶，不少有幾千個粉絲。換句話說，對故障的利用可能會產生嚴重的後果。

12月1日，@ fs0c131y通知Twitter，違規訪問令牌被迅速撤銷. 然而，昨天，在漏洞引起公眾注意後不久，@ fs0c131y 透露，使用谷歌，您可以找到更多易受攻擊的網站和帳戶。希望這個問題能夠盡快得到解決。