@kinugawamasato 正/純ハッカーによる 脆弱性報告と、怒りと、行動的対策要求 #hack #twitter #security
- millionsage
- 5368
- 0
- 3
- 0
先日導入されたTwitterのツイートボタンにあったXSS、誤った修正を経て(http://bit.ly/biWAoz → http://bit.ly/dBXvDw)なおった!
2010-08-14 14:26:36ツイッターのXSSがまた1つ直ったよー!URLに続く「(」と「)」の間に挟まれた「"」をタグ内にそのまままきこんでいたために起きてました。 http://j.mp/9fS4Tz これに伴いこの辺りの→http://j.mp/cGOmoc 表示が崩れる問題が改善されてます。
2010-08-17 18:58:38何にも変わってないような気がするけど修正対応をしたらしい(メールがきた)→ http://d.hatena.ne.jp/calendar/20000101
2010-08-17 20:09:05「本問題について、 kinugawamasato 様からご報告をいただきました。」謝辞でたー! #op3dev
2010-08-18 23:00:35@hasegawayosuke その仕様になったの今年の6月だったりします…><前は</style>が自動挿入されなかったのでXSSしてました。
2010-08-31 14:07:09@mikkohypponen One month ago,I reported XSS on f-secure,but it's still not fixed.You should fix this! http://bit.ly/9m7oH6
2010-09-01 02:06:11@lamaille_mayuko http://slfeed.net/search.php?text=%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E XSS確認しました。修正をお勧めします。
2010-09-04 17:08:08@lamaille_mayuko http://slfeed.net/imgsearch.php?site=%22%3E%3Cscript%3Ealert%281%29%3C/script%3E もう1箇所確認しました。
2010-09-04 17:20:13これ、アラートなら出せた(IE) http://amzn.to/bejLvm http://amzn.to/aAxgWz
2010-09-04 19:20:12@bulkneets はい http://bit.ly/cp730H #librahack #xss
2010-09-05 19:10:39@bulkneets ここですか http://bit.ly/czlxxn #librahack #xss
2010-09-05 19:57:48dev.twitter.com XSS still hasn't been completely fixed. http://bit.ly/dvpJyO #XSS #twitter
2010-09-07 14:53:52Twitter widgetのXSSが修正された。これが→http://bit.ly/axGCun こうだった→http://gyazo.com/ebd71eaff11b9a4d0d2ae2ab132bc949.png
2010-09-12 02:46:24http://twitter.com/goodies/widget_profile のプレビューだと読んでるjsが違うみたいだからまだ普通に再現する、けどまあ問題ないと思う
2010-09-12 03:14:41IE9 Beta、相変わらずEUC-JPやShift_JISのページで合体できるね http://gyazo.com/b61aae6386867c56b1050dac9116e52c.png
2010-09-17 12:40:00New Twitterきた! http://gyazo.com/75600d8ba0bef25e6c63e6e7e33a5028.png
2010-09-18 09:42:55New Twitter この辺の表示狂わなくなってる @3/x=#x @3/x^#x @3/x\#x @3/x:#x @3/x;#x @3/x,#x @3/x`#x @3/x[#x @3/x]#x @3/x-#x @3/x_#x @3/x?#x
2010-09-18 11:27:44ツイッターのXSS報告しないと新ツイッターにいけないみたいなので旧ツイッターの皆さんがんばってください
2010-09-18 12:02:58オートリンクがうまく働いていないなー例えば http://example.com/ とかで最後のスラッシュがリンクに含まれないとか http://example.com/?w=x&y=z とかで&以降がリンクにならないとか支障きたしまくりの問題
2010-09-18 12:32:26こう http://gyazo.com/0268331132fc3010ab5b3cd4c71ed9eb.png
2010-09-18 12:34:34New Twitterはトップレベルドメインが存在するものならhttp:// を省略してもリンクになるみたいです http://gyazo.com/2e25cb2fd919cd340643ebe9afbfa010.png
2010-09-18 18:15:07新Twitterのフォロワーを一番下までスクロールするとそこにはマニアックなドッキリが仕掛けられていた http://gyazo.com/bc107a5eeadac7da21846239872d8ef1.png
2010-09-18 20:43:45うお、新Twitter、mailto:x@example.com でmailto:のリンクになるし普通にメールアドレス書いてもmailto:のリンクになる #newtwitterjp
2010-09-18 21:16:44