TwitterにXSS脆弱性、大騒ぎに 24
ストーリー by hylom
定期的にでてくるなぁ 部門より
定期的にでてくるなぁ 部門より
ioaia 曰く、
公式ブログ、ITmedia Newsなどによると、Twitterの公式webサイト上で表示されれるツイート(つぶやき)の中に任意のコードを挿入できる脆弱性が発見されたとのこと。ただし、脆弱性は既に修正されているとのこと。
脆弱性は、ツイート内のURLをリンクに変換する処理に問題があり、URLの後に一定の文字を付加することにより、Aタグに任意の属性を付加できるというもの。これにより、onmouseover属性などを使用して、JavaScriptで任意のコードを実行する事が可能となった。この脆弱性を利用したコードにより、ユーザが意図しないツイートがされるなどの問題が発生し、ユーザが他のユーザに公式webを使用しないように警告するなど、Twitter内は大きな騒ぎとなった。
発見したのは日本人 (スコア:3, 参考になる)
GIZMODO [gizmodo.jp]によると、「日本の@kinugawamasatoさんで、XSS脆弱性を見つけ8月14日報告したんですが、対応が遅々としてなされなかったため」だそうです。文字数制限を超えた投稿 [techcrunch.com]も日本人だったし、なんでこういう方向で才能をw
Re: (スコア:0)
Re:発見したのは日本人 (スコア:1, おもしろおかしい)
>いつもガン無視される。
そこでたかぎひろみつセンセイ宛にも一緒にツイートですよ。
Re:発見したのは日本人 (スコア:1, 参考になる)
Re: (スコア:0)
対策として (スコア:1, 参考になる)
>(1)ログアウトする
というのが挙げられているせいか、普段Webインターフェースを使っていないのにログアウトするためだけにWebアクセスに行くという本末転倒なことも一部で起きていたようで。
言うまでもなくWebインターフェースを使っていない人がわざわざログアウトに行く必要はありませんというかむしろ危険です。
Re: (スコア:0)
いつものように誤情報がこれでもかってくらい飛び交ってましたからね。
任意のJavaScriptの実行によってCookieの内容が読み取れる話に尾ひれがついて、
一度でもクレカ使ったことのあるPCだとクレカ情報が抜き取られる(拡散推奨付きw)なんてのも見ました。
Re:対策として (スコア:1)
Twitterですと、最近「なるほど四時じゃねーの」の騒ぎ [togetter.com]の時に、「発言を見ただけで感染するワームウイルス」などというデマも流れていましたね……。
チェーンメールやmixi等で発生する連鎖書き込みよりはまだ、一次ソースを追いやすいし訂正も伝播しやすいですが、それでもやはりデマに踊らされないようにユーザーが注意していかないと、こういったトラブルの際に被害が拡大しそうに思えます。
(今回の場合、閲覧するだけで問題が起きていたために更に悪化した面も強いでしょうが)
Re: (スコア:0)
鎮火させたいのか炎上させたいのか意味不明な状態に。
コードゴルフ (スコア:1)
Re:コードゴルフ (スコア:2, すばらしい洞察)
だからスクリプトをオンにしたくないのに (スコア:0)
スクリプト入れないとツイート見えない仕様にしやがった!
Re: (スコア:0)
onにしないとつぶやけなくなったのは欠陥。
Re: (スコア:0)
専用アプリ使えばいいじゃない。
Re: (スコア:0)
日刊はにはにbot [twitter.com]しか見ないからアカウントすら持ってないのに、アプリ使うのまんどくさ
自称 情強 (スコア:0)
「フォロワーがスパムツイートしてたからリムーブした」
なんて言ってるユーザが件のツイートをRT(自分も踏んだ)してるのは滑稽でした
Re: (スコア:0)
FF13語?
さすがスラド Twitterには興味がないらしい (スコア:0)
閑古鳥鳴いてる
Re: (スコア:0)
みんな専用クライアント使ってるから対岸の火事で、
気がついたらもう火が消えてたとかそういう感じだと思う
実はよくわからない (スコア:0)
>脆弱性は、ツイート内のURLをリンクに変換する処理に問題があり、URLの後に一定の文字を付加することにより、Aタグに任意の属性を付加できるというもの。
どっかの誰かが「URLの後に一定の文字を付加した内容」をツイートしたことで、他の数千万のユーザーに影響が及んだってことなんすか?
(オレの場合、空送信だけでTL表示がおかしくなったので。)
Re: (スコア:0)
そういったtweetの中にアップローダとか短縮URLを使ったものがあり、アップローダやURL短縮サービスが数千万のタイムラインからDoS攻撃受けてたようなものなんで、そこが一番の被害者でしょうね。
Re: (スコア:0)
ありがとうございます。
つまりtwitterにクロスサイトスクリプティング脆弱性が存在している状態で
1.ある人物が、その脆弱性を利用したツイートを投稿
2.上記のツイートが、他の数千万のタイムラインに出現
(つまり各人のWEBブラウザ上では、勝手にRTするなど異常動作を行うJavaスクリプトが混入したhtmlが表示されている)
3.1で投稿されたツイートは、twitter側のhtmlを生成するプログラム自体を書き換えているわけではない。
という理解でいいんでしょうか。
悪意あるコードが含まれているとは云えいわば単なるツイート文が、遠く離れた他の数千万の公式クライアントに影響するってのが、なかなかピンとこないのです。
Re:実はよくわからない (スコア:2, 興味深い)
> 悪意あるコードが含まれているとは云えいわば単なるツイート文が、遠く離れた他の数千万の公式クライアントに影響するってのが、なかなかピンとこないのです。
ネットの世界に、遠いも近いも関係ない。
twitterの場合だと、まず「@有名人のアカウント」で例の脆弱性を悪用したツイートを送り付けて、その有名人がツイートを見てくれれば、あとは何千、何万のフォロワーに一気に拡散して一丁上がり。
世界的な拡散の経緯は、Gizmodeの記事世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった? [gizmodo.jp]が分かりやすい。
技術的な説明なら、2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について [m5s.jp]や、肝心の脆弱性を突いたツイートを見たいなら、はまちさんのツイート [twitter.com]と、Togetterのまとめ [togetter.com]をどうぞ。
I'm out of my mind, but feel free to leave a comment.
Re: (スコア:0)
どうもです。
ようやく理解しました。
>2.上記のツイートが、他の数千万のタイムラインに出現。
いきなり出現、ではなく自動リツイートされることによりフォロワー経由で拡散していったということなんですね。