URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構
「プロ野球選手によるプロ野球選手のものまね」を集めてみた - テレビの土踏まず
楽天・朝井による巨人・小笠原 「野球ものまね」が大好きです。とんねるずの「細かすぎて伝わらないモノマネ」や「中井正広のブラックバラエティ」の野球ものまね企画は絶対に見逃せない。 このシーズンオフ、野球が少ない寂しさを紛らすために YouTube やニコニコ動画で野球ものまねにまつわる動画を漁っていました。 すると、お笑い芸人やタレント、一般人、あるいは球団マスコットの「B・B」(日ハム)や「トラッキー」(阪神)などによる野球ものまねに混ざって、「プロ野球選手によるプロ野球選手のものまね」の映像をいくつか見つけました。 やはりプロはひと味違う! せっかくなので集めてみました。 やっぱり稲葉、すごいよマサルさん 稲葉(日ハム)→武田勝(日ハム)その1@試合前の練習中(09年) 小ネタだけどすごく似てる 稲葉(日ハム)→武田勝(日ハム)その2@練習中(09年) 別の試合でもマサルさん 「黒バラ」
『あとついでに』
アメーバなうではformからtokenを送信しているにもかかわらず、 サーバー側で未チェックだったが故のCSRFでしたが、 いま軽くチェックしてみたところ なんと… このAmebaブログの方も、まったく同じ状態(token未チェック)だったので まったく同じこと ちょっと近いことができます…! って、おばあちゃんが言ってましたよ! なにこれなにこれ どういう意味なの、おしえてえらいひと! (追記) 実際には投稿にいくつかの必須パラメータがあってそのうちuser_id(数字)の指定もあるからそれほど簡単ではなかったかも? ブログ投稿のPOST先: http://blog.ameba.jp/ucs/entry/srventryinsertend0.do 必須パラメータ user_id: 数字 publish_flg: 0 entry_title: 文字 theme_id: 数字 entry_t
アメーバなうでこんにちは!
ぼくはまちちゃん! こんにちはこんにちは!! このページは、アメーバなうの実験をしていましたが公開終了しました。 → 【緊急】アメーバなう利用中の皆さんへ【ご注意!】|ぼくはまちちゃん!(アメーバ) → はてなブックマーク - アメーバなうでこんにちは!
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
大阪名物スーパー玉出全店巡り :: デイリーポータルZ
