Twitterの脆弱性3連発 - ma<s>atokinugawa's blog
最近僕が発見し、修正されたTwitterの脆弱性を3つ紹介します。 1.旧Twitterの文字列処理に絡んだXSS 去年の夏くらいに、Twitter Web上で € 〜 ÿ の文字参照が含まれるツイートをXMLHttpRequestで読み込んだ際に表示が乱れるという問題に気付き*1、その時はこれは脆弱性には繋がらないだろうという判断をしたのだけど、今年の4月になって改めて調べたところ貫通しました。 表示が乱れるというのは、€ 〜 ÿ の文字参照が含まれるツイートがあると、一部の文字が\XXXXの形式に化けたり、ツイート周辺の「"」が「\"」になったりするものだったのですが、今回は「"」が「\"」になる点が脆弱性を発生させていました。 この条件でXSSさせようと思ったら、ツイートを細工してURLや@や#などオートリンクが作成される部分にうまいことイベン
思いがけない情報がパブリックに?Twitterで気をつけるポイント - はてなニュース
2006年にサービススタートしたTwitterですが、昨年から日本でもユーザーを増やしつつあり、使い始めたという方も多いのではないでしょうか。気軽につぶやけるゆるさや思わぬつながりにやみつきになってしまう気持ち、よくわかります。ただ、気軽につぶやいていると無意識の内に個人的な情報を公開してしまう可能性も。今回は実は危険かもしれないTwitterのもうひとつの顔をお伝えしたいと思います。 ■ 個人的な状況を検索 まずはTwitter公式検索を使って特定の状況の個人を検索できてしまうというエントリーを紹介します。 ▽twitter大ブームも個人情報の『ダダ漏らし』に要注意/岐阜のヒューマネット専務ブログ エントリーの中では 「彼氏と別れたばかりの女性」 を検索するキーワードが具体的に紹介されています。同様にして 「子供が今春で入学する」 「近く結婚式を挙げる」 といった特定の状況にある人を割り
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
