おさかなラボ - [速報]TwitterにCSRF脆弱性あり
S氏に「これってCSRF起こりません?」と指摘され、「あっ!」と思った。とりあえず概要をまとめる。とりまとめなので乱文なのはご容赦を。 結論から先に言うと、CSRFは特定の状況で「起こりうる」。 Twitterには先ほどこの件について報告した。とにかく「URL付きの変なupdateが飛んできたらうかつに踏まないように」。この件ははまちちゃん方式で殖える可能性がある。はまちちゃん事件はgoogleで偽装していたが、twitterはご丁寧にも長いURLをtinyurl化してしまうので、偽装の必要すらない。追記: tinyurlは必ず独自のRefererを送るようにしている模様。むしろ裸のURLが危ない(tinyurlがこの実装を取り消す日が来るまでは)。 とりあえず普通にCSRFを再現してみる。が、Web、APIとも他所サイトのReferer付きリクエストを蹴る模様。なので、Refere
Immortal Session の恐怖 : 404 Blog Not Found
2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、本当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは!! この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は本人が気付いてもパスワード変えてもセッション残
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
