Amebaのセキュリティ対策について|スタッフブログアメブロまわりを数分程度ざざっと眺めただけでも、 いたるところでCSRFの対策が入ってないようなんだけど、 この規模のサービスなら、いちおうそれなりにやっておいた方が…。 たぶん現状だと脆弱性をひとつひとつどこかに報告するとかっていうレベルじゃないです…。 (これらをセキュリティホールと呼ぶのか仕様と呼ぶのかは知らないけど…) [» この日記のブックマークコメントを見る/書く ]
前の日記にも書いたけれど、 ぼくの名前をかたったウイルスがアメブロに広まっていたみたいなので、 ちょっとだけ調べてみたよ。 (参考) [ほまち] gooブログ検索 ぼくのIDって「hamachiya2」なんだけど、それとすごくよく似たIDを誰かが取得して、そのIDのプロフィールページに変なコードが仕掛けられてあったみたい。 ざざっと調べた感じだと、下の4つのIDを確認したよ。 homatiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] homachiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] hamatiya2 (はまtiや2) [プロフィールの魚拓] [画面キャプチャ] hamachya2 (ぼくはまちちゃん!こんにちは…) ※綴りに「i」がない [プロフィールの魚拓] [画面キャプチャ] いずれもプロフィールページに「 http://bit.
(追記 2009/12/17) アメーバの仕様変更により以下のものは使えなくなりました。 アメブロには「ペタ」っていう、ちょっとイイ機能がありますよね。 これはなにかっていうとmixiの足あとのようなもので、 mixiと違う点はといえば、 訪問者が「ペタボタン」を押さないかぎり、ペタが残らないという点。 ペタを残すか残さないかを、訪問者が決められるわけですね。 でも、このペタボタン、 もし自動でクリックする仕掛けがページ側にあれば mixiのあしあとのように、来訪者のIDを知ることができてしまいます。 そこで、ちょっと調べてみました。 どうやらペタをつけるは、以下のurlにリクエストすればokのようでした。 http://peta.ameba.jp/p/addPetaComplete.do?targetAmebaId=(ユーザーID)だけど少しだけ条件があって、 ・refererが空である
お友達の書き込みに「こんにちはこんにちは!!」というものがあったら 絶対にクリックしないでください!!!! アメーバスタッフさんの記事によると、 その書き込みをクリックすると自分の日記にも 自動的に同じ内容の記事が投稿されるそうです! その結果、それを見た他のアメンバーさんにも、どんどん感染していきます! これはワームというウイルスで、 まるでチェーンメールのように悪質です!! その上、プロフィールなどの個人情報が漏洩する場合があるかもしれません! 詳細は不明ですが、とても不気味です…! 「こんにちはこんにちは!!」というタイトルの日記が いつのまにか投稿されていないか、 自分の「ブログ」と「アメーバなう」で、どうかご確認を! あったら即刻削除してください!!!!!! (1日のタイムラグの後にウイルス発動するという説もあります!) 現在、ameba管理者の方でも対応できないほどのスピードで
Amebaのセキュリティ対策について|スタッフブログ アメブロまわりを数分程度ざざっと眺めただけでも、 いたるところでCSRFの対策が入ってないようなんだけど、 この規模のサービスなら、いちおうそれなりにやっておいた方が…。 たぶん現状だと脆弱性をひとつひとつどこかに報告するとかっていうレベルじゃないです…。 (これらをセキュリティホールと呼ぶのか仕様と呼ぶのかは知らないけど…) 前の日記にも書いたけれど、 ぼくの名前をかたったウイルスがアメブロに広まっていたみたいなので、 ちょっとだけ調べてみたよ。 (参考) [ほまち] gooブログ検索 ぼくのIDって「hamachiya2」なんだけど、それとすごくよく似たIDを誰かが取得して、そのIDのプロフィールページに変なコードが仕掛けられてあったみたい。 ざざっと調べた感じだと、下の4つのIDを確認したよ。 homatiya2 (ほまちや2)
アメーバなうではformからtokenを送信しているにもかかわらず、 サーバー側で未チェックだったが故のCSRFでしたが、 いま軽くチェックしてみたところ なんと… このAmebaブログの方も、まったく同じ状態(token未チェック)だったので まったく同じこと ちょっと近いことができます…! って、おばあちゃんが言ってましたよ! なにこれなにこれ どういう意味なの、おしえてえらいひと! (追記) 実際には投稿にいくつかの必須パラメータがあってそのうちuser_id(数字)の指定もあるからそれほど簡単ではなかったかも? ブログ投稿のPOST先: http://blog.ameba.jp/ucs/entry/srventryinsertend0.do 必須パラメータ user_id: 数字 publish_flg: 0 entry_title: 文字 theme_id: 数字 entry_t
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く