iPhone 向け Twitter アプリ Osfoora for Twitter に XSS 脆弱性 | CONTROL-AKiPhone 向け Twitter アプリとして僕も常用している Osfoora for Twitter ですが、重大な XSS 脆弱性があることがわかりました。 脆弱性の内容は、「個別の投稿を表示する画面で、HTML 要素がそのまま解釈されて表示される」ということ。本来は HTML タグを投稿中に書いても、何ら意味のない「ただの文字列」として扱われるべき(&大半の Twitter クライアントではそう扱われているはず)なのですが、このアプリでは、個別投稿を表示する画面に限って、意味のある HTML 要素として取り扱われ、任意の JavaScript までもそのまま実行されるようです。 ※JavaScript についてはごく一部しか試していないため、iPhone の環境でどこまで実行されるのか把握はできていません。 実際に試してみました。 まずはこちらの投稿。
