如果你使用过这个WordPress插件，你必须尽快更改你的Twitter密码！

软件应用程序，网站和在线平台应该是生机勃勃的东西。如果他们要生存，他们需要更新并适应互联网每天投掷的不同事物。让他们休眠，迟早，他们会给你或其他人带来很多麻烦。一位法国研究员通过Twitter处理@ fs0c131y向我们展示了旧软件存在多大问题。

Table of Contents

什么是社交媒体标签？

他在社交媒体标签中发现了一个安全漏洞，这是一个WordPress插件，于2012年首次发布。社交媒体标签旨在将小标签整合到WordPress网站中，该网站在用户点击它们时展示所有者的社交媒体供稿。发布后，社交媒体标签获得了一些积极评价，在接下来的几个月里，开发它的香港公司Design Chemical推出了一些新功能。然而，根据变更日志，发展于2013年8月被查封。

社交媒体标签做错了什么？

毋庸置疑，为了显示您的推文和帖子，该插件必须能够访问您的社交媒体帐户。在这些页面上，我们讨论了一些示例，向我们展示了当您使用软件访问数据时需要多么谨慎，但很明显，大多数人根本不会认真对待这个问题，尤其是在某些事情发生时看起来像WordPress插件一样无害。正如您现在所看到的，这是一个很大的错误。

在社交网络选项卡的情况下，问题的根源在于插件存储其访问Twitter的访问权限的方式 - 允许用户查看所有推文的令牌。出于某种原因，从页面的源代码中可以看到访问令牌以及配置文件句柄。众所周知，源代码总是只需点击几下即可。

根据TechCrunch的Zack Whittaker的说法，尽管目前还没有积极开发社交媒体标签，但它仍然设法获得了大量的下载量。事实上，当@ fs0c131y首次发现错误时，他进行了扫描，发现了不到540个易受攻击的网站。

然后，他编写了一个概念验证脚本，该脚本贯穿上述网站，并删除了暴露的数据。几分钟后，他获得了超过400个推特账号的访问权限，但他很想知道他能用他们做什么样的恶作剧。他选择了一条推文并使用令牌“赞”它超过100次，这确保了他有读/写权限。有些帐户几乎被遗忘了，尽管在研究时，有些人发布了一些相当奇怪的推文。并非所有受影响的配置文件都是休眠有几个经过验证的帐户，不少有几千个粉丝。换句话说，对故障的利用可能会产生严重的后果。

12月1日，@ fs0c131y通知Twitter，违规访问令牌被迅速撤销. 然而，昨天，在漏洞引起公众注意后不久，@ fs0c131y 透露，使用谷歌，您可以找到更多易受攻击的网站和帐户。希望这个问题能够尽快得到解决。