なるほど四時じゃねーの( http://4ji.ssig33.com/ )での一連の騒動について適当に。編集を歓迎します。これは何が起こったのかを知らない方向けで。議論等は他でお願いします。
何が出来るのか どんな脆弱性かの詳細はこちらを参照2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について 外部JavaScriptを読み込むコードを仕込めたので、 どんなJavaScriptでも実行できる状態でした。 以下、JavaScriptの実行によってTwitter上で出来る事。 セッションハイジャック JavaScriptからcookieを参照できるのでログイン状態のセッションIDも参照できます。 また、任意のJavaScriptが実行できる以上、参照したセッションIDを攻撃者のサーバ等に送信することも出来ます。 攻撃者は奪ったセッションIDをcookieに設定すれば、被害者のアカウントでtweet,direct messageの閲覧・送信が出来ます。 確認してみたところ、ログイン状態のセッションIDはログアウトしても無効にはなりません。 設定→パスワードからパスワ
Twitter攻撃 2010年05月20日20:37 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン Twitter上で新たなマルウェアが進行中だ。 かなり大量の偽アカウントが、ポピュラーなハッシュタグと「あはは、これまで見た中で最高に面白いビデオだ(haha this is the funniest video ive ever seen)」というテキストを含んだメッセージを送信しているのだ。 TwitterでTrending Topicsを探すと、これらのメッセージを目にすることになる。 ツイート内のショートリンクは、「pc-tv.tv」内のページを示しており、これはJavaエクスプロイトを使用して、システムにキーロガーとBanking Trojanのコンボをドロップする。 この攻撃は、同ページのソース・コードを見るだけで、非常に簡単にフォローできる:
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く