もふったーをハックしたら予想以上に酷かった件 - kusano-k’s blog

TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog もふったーの作者が、TweetDeckがConsumer keyとConsumer secretを平文で持っていることを批判していたので、もふったーはどうなっているのか調べてみた。 もふったーをインストールする Immunity Debuggerをインストールする Immunity Debuggerでもふったーを開き、下の画面のようになるまで、F9を押して実行する CPUウィンドウの左上の欄で右クリック → Search for → All referenced text strings 出てきた画面で右クリック → Search for text → 「consumer_key」で検索 oauth_consumer_keyをダブルクリック → F2を押してブレークポイントを設定 → F9を押し

[todesking]

いい話だ

[n_shuyo]

暗号化して持つことは悪いことではない。「暗号化してるから大丈夫」と思い込むことや、「暗号化してないからダメ」と決め付けることが怖い。

[pabroff]

「この中でセキュリティ事故を起こさない者だけが石を投げなさい」的なエントリ

[kkobayashi]

クライアントからサーバーにkeyを送るという時点で流出は避けられないよね

[y-kawaz]

良い皮肉ｗコールバックURLの制限が出来ないTwitter側の問題なのに、誤理解で他人にイチャモンつけて引っ込みが付かなくなってしまった元記事主への引導渡し。矛を収めるキッカケ貰えて良かったんじゃないかと思う。

[z0rac]

難読化なんて飾りですよ。偉い人には(ry

[amino_acid9]

twitter が悪いよ twitter がー

[teracy_junk]

ハッカーの殴り合い怖い

[wasai]

スペシャルねこまんまなんて久々に聞いたわw

[vid]

そもそもどーしよーもねー話なんだよ！と言う突っ込み。

[napsucks]

int13探してExStandのプロテクトを手で外していた時代とは隔世の感・・・。

[hazisarashi]

サーバ経由させない限りこうなるよね…

[zetamatta]

TweetDeckがConsumer key等を平文で持ってる件を「もふったー」作者が批判しているが、「もふったー」もデバッガで調べれば結局分かってしまうというお話

[d_akatsuka]

スペシャルねこまんま57号なんて久しぶりに聞いたｗ

[John_Kawanishi]

http://bit.ly/119smr1おーぷんそーすなアプリの場合どうやって保存したり通信すればいいんだろう…

[syuu1228]

もふったーをハックしたら予想以上に酷かった件 - kusano_kの日記 (id:kusano_k)

[tuki0918]

「スペシャルねこまんま」久しぶりに聞いた

[iww]

プログラマが悪いわけじゃない という話

[houyhnhm]

customer_secretは非公開情報としては扱えないという気が。

[thinkisover467]

すげえwww

[muchonov]

なんどくか〜 なんどくか〜 世界の〜国から〜。security through obscurityをセキュリティとみなすかどうか問題。

[sgtakeru]

Immunity Debugger、スペシャルねこまんま57号。このへんでデバックするのかー。

[stumsky]

数分でできちゃうのね。　もふったーをハックしたら予想以上に酷かった件 - kusano_kの日記 (id:kusano_k)

[rryu]

鍵を指定するパラメータ名を定数・平文で持っていると、意外と簡単に鍵を送信しようとしている現場を押さえられるんですね。

[nasunori]

現在の仕様ではどーしようもなさそうですね

[rti7743]

デバッカーで追いかければどんなソフトでもそうなのではないか？

[linden]

でもまあ難読化しておくのはありだと思うがね。

[hidea]

この手の鍵をアプリで持つと、どうしても暗号化ではなく、難読化くらいにしかならないのは悩ましいところ。

[teramako]

いいぞ、もっと殴り合え、と思ったけど。これクロスカウンター決まって相手がダウンする程度に破壊力ありそう。

[mizchi]

仕様上どうしようもないだろこれは

[s025236]

じゃぁどうすればいいのだろう？