タグ

セキュリティとXSSに関するeikihayaのブックマーク (2)

  • Twitterで広がるJavaScriptの「onMouseOver」を使った攻撃

    世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。 まずは米Twitterのクロスサイトスクリプティング(XSS)問題。米ウェブセンスが、その内容を「TwitterJavaScriptの『onMouseOver』を使った攻撃が広まる」(Twitter OnMouseOver Flaw In The Wild)として、同社ブログで解説している。 それによると、twitter.comは2010年9月21日(米国時間)、XSS関連のセキュリティホールを悪用された。同サイトにアクセスして、細工された入りツィートにマウスポインターを重ねると、勝手にポップアップメッセージが表示されてしまうのだという。 このツィートにはイベントハンドラー「onMouseOver」を使ったJavaScriptコードが記述されていて、ユーザーがクリックしなくても何らかの動作を実行す

    Twitterで広がるJavaScriptの「onMouseOver」を使った攻撃
  • 2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について

    【お知らせ】 9 月 21 日午後 11 時頃、公式サイドから脆弱性が修正されたとの発表がありました。 はじめに 2010 年 9 月 21 日、ツイッターで深刻な脆弱性(ぜいじゃくせい)が発見され、被害が広がっています。これが何なのか、簡単に説明します。 JavaScript とマウスオーバーイベント まず、下のピンク色の枠内にマウスカーソルをすべらせてみてください。 この枠の中をマウスカーソルで触って! どうでしたか。「触ってくれてありがとう!」というメッセージが表示されましたね。 このように、ウェブページには簡単なプログラムを仕込むことができます。どのウェブブラウザー(皆さんがウェブを見る時に使うソフトウェア。インターネットエクスプローラーなど)でも共通で使える「JavaScript (ジャバスクリプト)」という言語が一般的に使われています。 今回は、ページ上のある部分にマウスカーソ

    eikihaya
    eikihaya 2010/09/22
    FirefoxだとNoscriptとかでスクリプト禁止にしてればいいんだろうが...めんどうだからTwitterとかよく使うサイトは許可してたので危ない。やっぱりいつも使うサイトもデフォルトでブロックすべきですか...
  • 1