Direct Message
Недавно наткнулся на новость, что в твиттере при отправке Direct Message методами API можно вставлять скрипты (там присутствует XSS уязвимость). Значит снова я полез в API твиттера и написал скрипт для отправки Direct Message:


<?php
set_time_limit(0); // убираем ограничение времени на выполнение скрипта
function SendDM ($username, $password, $usersendto, $data){ // инициируем функцию
$url = &#039http://twitter.com/direct_messages/new.xml'; // задаем адресс обращения к API
$ch = curl_init(); // инициируем CURL, задавая его параметры ниже
curl_setopt($ch, CURLOPT_URL, &#034$url&#034);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 2);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_USERPWD,
&#034$username:$password&#034);
curl_setopt($ch, CURLOPT_POSTFIELDS, &#034$data&#034);

$buffer = curl_exec($ch); // сохраняем ответ
curl_close($ch); // закрываем CURL
if (empty($buffer)) { // если ответа нету
echo &#039Не отправлено пользователю &#039.$usersendto.&#039 <br>'; // выводим пользователя, которому не отправилось сообщение
} else { // если ответ есть
echo &#039Отправлено пользователю &#039.$usersendto.&#039 <br>';}} // выводим пользователя, которому успешно отправилось сообщение
$filewithlogins = &#034logins_sendto.txt"; // указываем путь к файлу с логинами пользователей, которым мы собираемся отправит сообщение, максимум 250
$fp = fopen($filewithlogins, &#034r&#034) or die (&#034<br><b>Невозможно открыть файл</b> &#034); // открываем файл для чтения
while ( ! feof( $fp ) ) { // запускаем цикл, который выполняется до тех пор, пока не достигнут конец файла
$line = fgets( $fp, 1024 ); // копируем построчно со смещением указателя
$sendtext = iconv(&#034windows-1251&#034, &#034UTF-8&#034, &#034text=Тут пишем текст для отправки&user=&#034); // формируем отправляемое сообщение
SendDM (&#039ваш логин&#039, &#039ваш пароль&#039, trim($line), $sendtext.trim($line)); } // рассылаем сообщения
?>

Тут качаем скрипт.

XSS уже не работает или я не правильно ее ищу :) Скрипт можно использовать для массовой рассылки Direct Messages в Twitter, на английском или русском языке.