おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考停止
「Amebaなう」なるtwitterの真似にインスパイアされたサービスが始まって、さっそくは「はまちちゃん」の餌食になっている。 ミニブログ「Amebaなう」モバイル好調でPC版を前倒し、スパム被害も広がる 自分達の気に入らないものを悪しざまに言うのは同情出来ないことではないのではあるが、これを「スパム」と言ってしまうのは思考停止ではないか? 例によってはまちちゃんは脆弱性を突いて「こんにちはこんにちは!!」を出しつつ自分をフォローさせるトラップを仕掛けたようだ。まぁ、彼を知っている人なら、「お手軽フォロークリック」で便利でいい。って、私はAmebaのアカウントを消したばかりなんで、祭に参加出来なかったんだけど(Amebaはアカウントを消すとしばらく同じアカウントは使えなくなる)。 で、まぁ、これは「いつもの」でしかない。彼を知る人からすれば「いつやるのか」だけが問題であって、やらかさなか
『あとついでに』
アメーバなうではformからtokenを送信しているにもかかわらず、 サーバー側で未チェックだったが故のCSRFでしたが、 いま軽くチェックしてみたところ なんと… このAmebaブログの方も、まったく同じ状態(token未チェック)だったので まったく同じこと ちょっと近いことができます…! って、おばあちゃんが言ってましたよ! なにこれなにこれ どういう意味なの、おしえてえらいひと! (追記) 実際には投稿にいくつかの必須パラメータがあってそのうちuser_id(数字)の指定もあるからそれほど簡単ではなかったかも? ブログ投稿のPOST先: http://blog.ameba.jp/ucs/entry/srventryinsertend0.do 必須パラメータ user_id: 数字 publish_flg: 0 entry_title: 文字 theme_id: 数字 entry_t
URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
