TwitterのOAuth脆弱性
TwitterのOAuth脆弱性 Presentation Transcript TwitterのOAuth脆弱性 2013-03-01 Xtone Ltd. ピザ会 Aki / @nekoruri なにがおきたの?( ^o^) なんか友達からURL送られてきたお なにがおきたの?( ˘⊖˘) 。o(ID/Pass入力しなきゃ安全だよな……) なにがおきたの?|URL| ┗(☋` )┓三 なにがおきたの?( ◠‿◠ )☛ アクセストークンは頂いた、抵抗は無意味だ なにがおきたの?▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ なにがおきたの?( ^o^)なんか友達からURL送られてきたお( ˘⊖˘) 。O(ID/Pass入力しなきゃ安全だよな……)|URL| ┗(☋` )┓三( ◠‿◠ )☛アクセストークンは頂いた、抵抗は無意味だ▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわああああ
特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ
Twitterブログ: より安全にご利用いただくために
すでにニュースでお読みになられた方も多いと思いますが、このところ、アメリカのテクノロジーとメディア企業を対象にした大規模なセキュリティ攻撃が行われています。この2週間にNew York Times、Wall Street Journalがシステムを、またAppleやMozillaはもともと設定されているJava(プログラムのひとつ)をオフにされました。 今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。 該当するアカウントにはTwitterからパスワードのリセットをかけ、セッションIDの破棄をしました。この該当アカウントに含まれているユーザ
OAuthの認証にWebViewを使うのはやめよう
AndroidからTwitterへアクセスするためのライブラリとして,Twitter4Jが有名です. これを使ってみようと,「Android Twitter4J」と検索すると 認証にWebViewを使った例がたくさん出てきます. ・・・いや,ちょっとまて. それはちょっとまずいだろう. そういうわけでもうちょっと賢い方法を探してみました. 何がまずいのさ 「Android Twitter4J」と検索すると,上位にこんなページが出てきます. Twitter4jを使ってOAuth認証をアプリ内で行う方法 Twitter4j-2.2.xを使ったOAuth認証のコーディング例 twitter4jでツイートする Android+Twitter4JでOAuthするためのソースコード 上のサイトでは次の様は方法をとっています. アプリ内にWebViewを貼り付け WebViewでTwitterの認証画面
pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - ockeghemのtumblr
アノニマス匿名のハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。(注:当初anonymous hackersをアノニマスハッカーと訳していましたが、ここは「匿名の」という意味ですね。訂正します) 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られていたアカウントの数ですが、単純に数えると、58,978個あり、約59,000というところです。ところが重複がかなりあり、ユニークなID:パスワードの組み合わせだと、34,069に減少します。さらに、「同一ユーザ名でパスワードが異なる」組み合わせが6個ありました。
Twitterの脆弱性3連発 - ma<s>atokinugawa's blog
最近僕が発見し、修正されたTwitterの脆弱性を3つ紹介します。 1.旧Twitterの文字列処理に絡んだXSS 去年の夏くらいに、Twitter Web上で € 〜 ÿ の文字参照が含まれるツイートをXMLHttpRequestで読み込んだ際に表示が乱れるという問題に気付き*1、その時はこれは脆弱性には繋がらないだろうという判断をしたのだけど、今年の4月になって改めて調べたところ貫通しました。 表示が乱れるというのは、€ 〜 ÿ の文字参照が含まれるツイートがあると、一部の文字が\XXXXの形式に化けたり、ツイート周辺の「"」が「\"」になったりするものだったのですが、今回は「"」が「\"」になる点が脆弱性を発生させていました。 この条件でXSSさせようと思ったら、ツイートを細工してURLや@や#などオートリンクが作成される部分にうまいことイベン
Twitterが常時HTTPS接続を呼びかけ、ユーザー設定で対応
米Twitterは現地時間2010年3月15日、「Twitter.com」へのアクセスに常時HTTPS接続できる機能を追加した。これまでも「https://twitter.com」にアクセスすれば利用できたが、HTTPS接続を標準的な利用形態として推進していく狙いがある。 設定は、画面右上 の「Settings(設定)」を選び、「Account(ユーザー情報)」の一番下にある「HTTPS Only(HTTPSのみ)」の「Always use HTTPS(常にHTTPSのみを利用)」を有効にすればよい。 公衆無線LANなどを使っている際、アカウントのセキュリティが向上し、ユーザー情報が保護されるとしている。また将来的にはHTTPSをデフォルト設定にしたいと同社のCarolyn Penner氏は述べている。 なお、Twitterの各種機能やクライアントアプリケーションではユーザー設定にかかわら
Twitterの“XSS騒動”はどのように広まったか
Twitterの大騒動から1日、このいたずらを仕掛けた犯人たちがどうやってユーザーをリダイレクトし、訳の分からないリツイートを大量にばらまいたのかが明らかになってきている。意外なのは、犯人のほとんどはコンピュータを乗っ取ったり、情報を盗もうとする犯罪者や攻撃者ではなく、セキュリティホールを利用して何ができるのか見てみようと好奇心に駆られたユーザーだったということだ。 各紙報道によると、TwitterのホームページのXSS(クロスサイトスクリプティング)脆弱性を最初に発見したのは、Masato Kinugawaと名乗る日本人開発者だった。彼はこれを利用して、虹の七色のツイートを作った。ノルウェーのRubyプログラマー、マグナス・ホルム氏も騒動に荷担した1人で、New York Timesによると、このXSS脆弱性を悪用する最初のワームの作成者という。同氏はKinugawa氏のコードを見て、自
2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について
【お知らせ】 9 月 21 日午後 11 時頃、公式サイドから脆弱性が修正されたとの発表がありました。 はじめに 2010 年 9 月 21 日、ツイッターで深刻な脆弱性(ぜいじゃくせい)が発見され、被害が広がっています。これが何なのか、簡単に説明します。 JavaScript とマウスオーバーイベント まず、下のピンク色の枠内にマウスカーソルをすべらせてみてください。 この枠の中をマウスカーソルで触って! どうでしたか。「触ってくれてありがとう!」というメッセージが表示されましたね。 このように、ウェブページには簡単なプログラムを仕込むことができます。どのウェブブラウザー(皆さんがウェブを見る時に使うソフトウェア。インターネットエクスプローラーなど)でも共通で使える「JavaScript (ジャバスクリプト)」という言語が一般的に使われています。 今回は、ページ上のある部分にマウスカーソ
サーバ管理者日誌 他のサイトのパスワードを聞き出すことを禁止できないものだろうか
続・他のサイトのパスワードを聞き出すことを禁止できないものだろうか2010-07-15 ユニクロのフィッシング詐欺風サイトに見る群集心理2010-05-26 帰ってきた・他のサイトのパスワードを聞き出すことを禁止できないものだろうか2011-11-24 日本レコード協会のフィッシングサイト「LOVE MUSIC」2010-12-24 Webサービスの開発者は、「多くの利用者は、どのサービスにもおんなじパスワードを使ってる。」って覚悟をもってなきゃいけないと思う。2010-06-19 「ユニクロ」サイトに不正注文=在庫4000着以上発生−無職男を逮捕・警視庁2006-05-10 コンセプトメモ2005-01-16 1.0.0.0/8の割り当て2010-01-25 夢のリマインダー2011-08-09 mixi station2007-11-09 続・SC4202005-06-15 続・「チェ
「指令はTwitterのRSSフィード」、新手のトロイの木馬 - @IT
2010/06/24 RSAセキュリティは6月24日、オンライン犯罪に関する月例アップデートを公開した。RSA Anti-Fraud Command Center(AFCC:オンライン不正対策指令センター)で収集した情報に基づいて毎月公開しているレポートの最新版だ。この中で同社は、Windows Liveをはじめとする無料のWebサービスを悪用するトロイの木馬「Brazilian Banker」に注意を呼び掛けている。 従来型のトロイの木馬は、攻撃者が独自に設置したコマンド&コントロールサーバを介して命令を受け取ることが多かった。これに対しBrazilian Bankerは、Windows Liveのプロフィール情報やGoogle Groups、あるいはTwitterのRSSフィードを利用して命令を受け取る。 過去に存在したトロイの木馬やボットの中にも、Windows Liveのようなイン
Twitterで大規模なアカウント乗っ取り、1000ユーザー以上が被害
フィンランドのセキュリティ企業エフセキュアは2010年6月21日、ミニブログサービス「Twitter」において、1000以上のアカウントが乗っ取られたことを明らかにした。攻撃者により、特定の文字列がツイートされたという。 エフセキュアによれば、発表に至るまでの12時間に、1000件以上のTwitterアカウントが乗っ取られたという。いずれのアカウントでも、「Hacked By Turkish Hackers」とツイートされている(図)。 アカウントがどのようにして乗っ取られたのかは、現時点では不明。エフセキュアが調べたところ、乗っ取られたアカウントのほとんどは、イスラエルのユーザーのアカウントだった。このため、TwitterのユーザーIDやパスワードを盗む目的の、ヘブライ語のフィッシング詐欺が横行している可能性があるとしている。 エフセキュアの情報
TechCrunch | Startup and Technology News
On Friday, Pal Kovacs was listening to the long-awaited new album from rock and metal giants Bring Me The Horizon when he noticed a strange sound at the end of…
Twitterクラック事件の原因?:Geekなぺーじ
昨日のTwitterクラック事件はDNSに不正な値を設定されたことが原因でした。 Twitter公式ブログでも以下のようにDNSが原因であり、本体が乗っ取られたわけではないと記述されています。 「Twitterブログ: 昨日のDNS障害についての追加情報」 この攻撃の間、われわれはDNSプロバイダのDynectと直接連絡を取り続けました。そしてDNSをできるだけ素早くリセットするよう緊密に作業しました。 これを見たときに「ああ、やっぱりDynectが原因だったか」と思いました。 恐らくTwitterは自分でネットワークやサーバをほとんど運営しておらず、DNS部分はCDN事業者のDynIncのサービスを購入していると推測されます(参考:Twitterのネットワーク構成を調べてみた)。 さらに、「CDN事業者のDynectにとってTwitterでの事件は経営に凄く大きな打撃を与えるのでは?」と
Twitterクラッキングによるアカウント乗っ取りを図にした
今日の15:00頃にtwitter.comがクラッキングされて、全く異なるトップページが表示されていたようです。 Twitter Blog: DNS Disruption Twitter がクラッキングを受けてダウンしている模様 – Yaks Twitterがクラックされている件 – 西尾泰和のはてなダイアリー 私が見た時は単に接続ができない状態だったのですが、DNSを不正に書き換えられてtwitter.comが別サーバに向くようになっていました。 すでに各サイトで技術的な解説はされているので、タイムラインで懸念されているアカウント乗っ取りについて図を書いてみました。 通常時 OAuthを使っていない多くのTwitterクライアントは、Basic認証を使ってアカウントの認証を行っています。つまりTLを取得するなり、postするなり、twitter.comへのリクエスト毎にアカウントIDとパ
質の高いTwitterのアカウントを増やす方法 - ぼくはまちちゃん!(Hatena)
こんにちはこんにちは!! Twitterはじめていよいよ2年半くらいたっちゃいましたが、 ようやく自作自演用の副アカウントが10を越えようかという段階に達しました!!! ついったーやってる人なら誰だって自演用の副アカ増やしたいですよね…! もちろん、ぼくもそうなんです!! でもね、単純に副アカ増やすだけなら誰だってできますよ! ミエミエの自演アカウントを増やすことが目的じゃなく、 自作自演でありながらも、つぶやいた内容がしっかりと影響力があったりするような、 Google先生にも即インデックスされちゃうくらいのやつ。 質の高い感じのすてきな副アカづくり。 そういったアカウントでの自作自演がTwitter本来の楽しみであるべきかなーと思います!! だけどそんな副アカ、真面目にみっつもよっつも育てるのは大変ですよね…! そこで今回は、 比較的、質の高い副アカウントを簡単に増やすためのチップスを
twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TwitterのOAuthの問題まとめ
TwitterにPostしてたら会社でのポストがなくなっちゃった! - さまざまなめりっと
TechCrunch | Startup and Technology News