twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
Twitterの脆弱性3連発 - ma<s>atokinugawa's blog
最近僕が発見し、修正されたTwitterの脆弱性を3つ紹介します。 1.旧Twitterの文字列処理に絡んだXSS 去年の夏くらいに、Twitter Web上で € 〜 ÿ の文字参照が含まれるツイートをXMLHttpRequestで読み込んだ際に表示が乱れるという問題に気付き*1、その時はこれは脆弱性には繋がらないだろうという判断をしたのだけど、今年の4月になって改めて調べたところ貫通しました。 表示が乱れるというのは、€ 〜 ÿ の文字参照が含まれるツイートがあると、一部の文字が\XXXXの形式に化けたり、ツイート周辺の「"」が「\"」になったりするものだったのですが、今回は「"」が「\"」になる点が脆弱性を発生させていました。 この条件でXSSさせようと思ったら、ツイートを細工してURLや@や#などオートリンクが作成される部分にうまいことイベン
iPhone 向け Twitter アプリ Osfoora for Twitter に XSS 脆弱性 | CONTROL-AK
iPhone 向け Twitter アプリとして僕も常用している Osfoora for Twitter ですが、重大な XSS 脆弱性があることがわかりました。 脆弱性の内容は、「個別の投稿を表示する画面で、HTML 要素がそのまま解釈されて表示される」ということ。本来は HTML タグを投稿中に書いても、何ら意味のない「ただの文字列」として扱われるべき(&大半の Twitter クライアントではそう扱われているはず)なのですが、このアプリでは、個別投稿を表示する画面に限って、意味のある HTML 要素として取り扱われ、任意の JavaScript までもそのまま実行されるようです。 ※JavaScript についてはごく一部しか試していないため、iPhone の環境でどこまで実行されるのか把握はできていません。 実際に試してみました。 まずはこちらの投稿。
twitter XSS脆弱性の観測記録 - close your eyes...
2010年9月21日に twitter で起きた XSS脆弱性攻撃の個人的な観測記録です。 twitterの現状 対応・修正済み。 Twitter Status - XSS attack identified and patched. Twitterのステータス - XSSアタックについて認識し、パッチによる修復作業を行いました。 Twitter / Del Harvey: The XSS attack should now ... Twitter / Yoshimasa Niwa: 修正作業を行い、先程のXSS問題は修正されました。多 ... この問題は何か スクリプト挿入脆弱性 Script Insertion Vulnerability XSS脆弱性 Cross-Site Scripting Vulnerability どんなバグか URLで、/(slash)に挟まれた@(atmar
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブログ
