Janetter、ネタツイートのXSSが刺さり無限に「んほぉぉ!イッぐぅぅ!!」とダイアログが出る体にさせられる
-
- いいね!233
TERRY
@terry_u16
湯婆婆「契約書だよ。そこに名前を書きな。働かせてやる。」 千尋> <script type="text/javascript">for(;;){alert("んほぉぉ!イッぐぅぅ!!");}</script> 湯婆婆「フン。んほぉぉ!イッぐぅぅ!!んほぉぉ!イッぐぅぅ!!んほ
2017-04-28 12:02:34
TERRY
@terry_u16
なんかどうも僕のクソネタツイートの超絶初歩的なクソXSSがJanetterにぶっ刺さって「んほぉぉ!イッぐぅぅ!!」って無限にダイアログが出ているらしくこういうときどんな顔したらいいのかわからない twitter.com/terry_u16/stat…
2017-05-01 19:06:06
TERRY
@terry_u16
というかこの脆弱性が本当なら割とマジでヤバいのでもし万が一Janetterを使ってる方がいらっしゃいましたら対応されるまでご利用をお控え頂きますと幸いです…… twitter.com/terry_u16/stat…
2017-05-01 19:24:05
TERRY
@terry_u16
@zenmai577 ざっくり言うと「アホプログラムが書かれたツイートを脆弱性のあるTwitterクライアントで表示しようとしたらそのプログラムがそのまま実行されちゃった」って感じですね。悪用されると理論上どんなプログラムも動かせちゃうので割とシャレになってない感じです……
2017-05-01 19:32:14
TERRY
@terry_u16
「Janetterでそんなんなってるのかやってみよ」的なツイートをちらほら見かけるんですが最悪悪意あるスクリプト(プログラム)を埋め込まれてやりたい放題されかねないので使用をお控え頂きますことを重ねて強くお勧めいたします…… twitter.com/terry_u16/stat…
2017-05-01 20:00:40
de0
@de0
JanetterにXSS刺さるのどうせ更新ほったらかしにしてる奴だけやろと思って試してみたら表示だけなら問題ないけどミュート登録時に普通に最新版でも発動してひどい
2017-05-01 20:38:18
きょうしつ
@zouwoutu
話題のJanetterの脆弱性の件、手順も含めて検証してみた。 「スクリプトが含まれるツイートを範囲選択>右クリック>ミュートアプリに追加」の手順で確かにスクリプトが動いた。「ミュートワードに追加」でも動く。前後に無関係の文字列が入っていても動く。 これはひどい。 pic.twitter.com/O3JKP9O6cS
2017-05-01 19:50:31
拡大
拡大
拡大
拡大