<p><strong>Description of script:</strong></p>
<p>Twitter providing features to protect the user privacy, using account
 setting you can protect your Tweets, you can change Username, you can 
change your password, and you can change your E-mail address.</p>
<p><strong>Affected script URL:</strong></p>
<p>URL #1: <a href="https://mobile.twitter.com/settings/screen_name">https://mobile.twitter.com/settings/screen_name</a><br>
URL #2: <a href="https://mobile.twitter.com/settings/name">https://mobile.twitter.com/settings/name</a></p>
<p><strong>Vulnerability Description:</strong></p>
<p>1) Cross Site Scripting Vulnerability ( Twitter mobile is infected User Side XSS as well as it was protected to click jacking ):</p>
<p>Cross-Site Scripting attack is type of injection, in which malicious java scripts are injected into the web sites dynamic page.</p>
<p>2) HTML Injection Vulnerability (Twitter mobile is infected User Side , one html injection was stored )</p>
<p>HTML Injection is a type of injection, in which malicious HTML Code injected into the web sites Pages.</p>
<p><strong>Exploit Description + Proof of Concept:</strong></p>
<p>URL #1: <a href="https://mobile.twitter.com/settings/name">https://mobile.twitter.com/settings/name</a></p>
<p>Title #1: Stored HTML Injection Vulnerability</p>
<p>In the above URL there is one input box to change the name. The HTML code of the input box is following.</p><p>for more details <br></p><p><a href="http://www.karmacyberintel.net/2012/01/twitter-mobile-account-settings-cross-site-scripting-and-multiple-html-injection-vulnerability/">http://www.karmacyberintel.net/2012/01/twitter-mobile-account-settings-cross-site-scripting-and-multiple-html-injection-vulnerability/</a><br>
</p>