昨日騒ぎになったTwitterのXSS脆弱性によって実際に受けそうな被害とその対策 - monjudoh’s diary
何が出来るのか どんな脆弱性かの詳細はこちらを参照2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について 外部JavaScriptを読み込むコードを仕込めたので、 どんなJavaScriptでも実行できる状態でした。 以下、JavaScriptの実行によってTwitter上で出来る事。 セッションハイジャック JavaScriptからcookieを参照できるのでログイン状態のセッションIDも参照できます。 また、任意のJavaScriptが実行できる以上、参照したセッションIDを攻撃者のサーバ等に送信することも出来ます。 攻撃者は奪ったセッションIDをcookieに設定すれば、被害者のアカウントでtweet,direct messageの閲覧・送信が出来ます。 確認してみたところ、ログイン状態のセッションIDはログアウトしても無効にはなりません。 設定→パスワードからパスワ
短縮URLのリスクと対策 - Nothing ventured, nothing gained.
Twitterなどでお馴染みの短縮URLサービス。 http://bit.ly/gROal という形式や http://tinyurl.com/mpheg5 で表示されるあれだ。この2つの例は、このブログのURLなのでさほど長くないが、個別のページへの長いURLやウェブアプリケーションにより生成された長い乱数などが埋め込まれたURLなどの場合には、URLが短縮できると便利だ。 特に、Twitterは140文字という文字数制限がある。貴重な文字数をワケワカメな暗号のようなURLで使ってしまうのは勿体無い。 ということで、Twitterなどでは短縮URL花ざかりなわけだが、どうにも、この短縮URLが気持ち悪い。 リスク 飛んだ先に何があるかわからないため危険だと言うことが言われるが、この危険というのにも種類がある。いわゆるフィッシングサイトやマルウェアが埋め込まれたサイトではないかという心配な
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
