昨日騒ぎになったTwitterのXSS脆弱性によって実際に受けそうな被害とその対策 - monjudoh’s diary

何が出来るのか どんな脆弱性かの詳細はこちらを参照2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について 外部JavaScriptを読み込むコードを仕込めたので、 どんなJavaScriptでも実行できる状態でした。 以下、JavaScriptの実行によってTwitter上で出来る事。 セッションハイジャック JavaScriptからcookieを参照できるのでログイン状態のセッションIDも参照できます。 また、任意のJavaScriptが実行できる以上、参照したセッションIDを攻撃者のサーバ等に送信することも出来ます。 攻撃者は奪ったセッションIDをcookieに設定すれば、被害者のアカウントでtweet,direct messageの閲覧・送信が出来ます。 確認してみたところ、ログイン状態のセッションIDはログアウトしても無効にはなりません。 設定→パスワードからパスワ

[teppeis]

「最近のブラウザの場合、最初からHTMLに含まれているformについてのみパスワード入力補完の対象になるようで、JavaScriptで動的に作成したフォームにはパスワードを入れないようです」

[raimon49]

＞ログイン状態のセッションIDはログアウトしても無効にはなりません。設定→パスワードからパスワード変更操作をすれば(変更前後のパスワードが同一でも)以前のセッションIDを無効にできます。 / な、なんだってー

[decoy2004]

セッションハイジャックされてたらログアウトしても無駄なので、

[zorio]

"ログイン状態のセッションIDはログアウトしても無効にはなりません。" なんだってー！

[kaito834]

2010年9月、twitter.com におけるXSS騒動に関するブログ記事。「ログイン状態のセッションIDはログアウトしても無効にはなりません」

[nemoba]

javascriptで動的に偽のログインページ（または右上のフォーム）表示してやれば、かなりのユーザーが騙されてパスワード入力しちゃうだろうから、IE6限らずともパスワード抜くことは出来ますよね。

[authority-site]

昨日騒ぎになったTwitterのXSS脆弱性によって実際に受けそうな被害とその対策 - 文殊堂

[hiropon1096]

あとで読む

[todesking]

「ログイン状態のセッションIDはログアウトしても無効にはなりません」まじで……

[deg84]

やっぱり何かとまずいよね・・・。

[tgk]

「確認してみたところ、ログイン状態のセッションIDはログアウトしても無効にはなりません」これは後で