Last-modified: 2019-05-22 (水) 16:21:38 / Short URL: http://wiki.nothing.sh/2511.html / - users /
Last-modified: 2019-05-22 (水) 16:21:38 / Short URL: http://wiki.nothing.sh/2511.html / - users /
iPhone 向け Twitter アプリとして僕も常用している Osfoora for Twitter ですが、重大な XSS 脆弱性があることがわかりました。 脆弱性の内容は、「個別の投稿を表示する画面で、HTML 要素がそのまま解釈されて表示される」ということ。本来は HTML タグを投稿中に書いても、何ら意味のない「ただの文字列」として扱われるべき(&大半の Twitter クライアントではそう扱われているはず)なのですが、このアプリでは、個別投稿を表示する画面に限って、意味のある HTML 要素として取り扱われ、任意の JavaScript までもそのまま実行されるようです。 ※JavaScript についてはごく一部しか試していないため、iPhone の環境でどこまで実行されるのか把握はできていません。 実際に試してみました。 まずはこちらの投稿。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く