twitterにクロスサイトスクリプティング(XSS)脆弱性があればパスワードを変更できる - ockeghem's blog

秋のDK収穫祭などで騒がれている、いわゆるDK祭り。 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 http://blog.livedoor.jp/dankogai/archives/50959103.html 現象から見てセッションハイジャックされたと思われるが、原因となる脆弱性が小飼弾氏の主張どおりCSRF(Cross Site Request Forgeries)だったのか、パスワードは窃取されたのか、元々のパスワードが類推しやすいものだったのかなど、議論を呼んでいる。 私は、現象からみて、原因となる脆弱性はCSRFではなく、XSSだったと思う*1。twitterにXSS脆弱性があれば、セッションハイジャックにより、第三者が小飼弾氏になりすまして発言するところまでは可能だ。しかし、一般的にはXSSではパスワードまでは窃取できない。id:ha

[ockeghem]

twitterにご注意を

[IwamotoTakashi]

ああ、意識してないと漏れてしまいそう＞「ユーザプロファイル変更時にもパスワードを要求する」

[webmarksjp]

Twitter

[t-murachi]

見落としてた。なるほろ。。。

[bravewood]

この解説は詳しい。素晴らしいです。

[nitoyon]

セッションからメールアドレス変更を介して、パスワード変更ができてしまう。

[kmachu]

なるほどねぇ。パスワードの再発行のセキュリティレベルって結構見逃されがち。

[hasegawayosuke]

私みたいな表面的な話でなく、ちゃんと調査したうえで書いてる。いつもながら、勉強になります

[kazuhooku]

おもしろい。つーか誰か best practice をまとめて

[susatadahiro]

ログイン周りの仕様の参考に