Twitterのあたらしいアカウント乗っ取りの件[追記] このブログへのリンクを気軽にクリックしたそこのアナタ!!!!! 気をつけてください!!!!!!!!!!!!! 経緯 http://togetter.com/li/463503 手法 ダイレクトメッセージ経由で短文+短縮URL callback指定された認証URLをiframeで開く 2.のiframeのcallbackにはcallback.phpがあって(攻撃者のサーバ上)、アクセストークンを抜き取る ウハウハ 特徴 パスワードを抜き取るような通常のフィッシングサイトではない、Twitterの一種の脆弱性を利用していること →twitter.comにログインした状態なら起こりえる 既存の公式・サードパーティ製クライアントのコンシューマーキーを使用していること →なんで持ってるのって話 旧twitter.comのcssとかjsとかそのまんま使ってる →ソースをちょっとみただけではな
