@kinugawamasato 正/純ハッカーによる 脆弱性報告と、怒りと、行動的対策要求 #hack #twitter #security
-
millionsage
- 5375
- 0
- 3
- 0
-
- いいね!0
Masato Kinugawa
@kinugawamasato
新Twitter、a://example.com とかでリンクになる。javascript vbscript data とか危険なスキームはブラックリストでリンクにならないようになっているかんじだが抜け道がありそうで危なっかしい #newtwitterjp
2010-09-18 23:57:38
Masato Kinugawa
@kinugawamasato
New Twitterは 192.168.1.1 とか書いてもオートリンクが働く #newtwitterjp
2010-09-19 23:22:38
Masato Kinugawa
@kinugawamasato
NewTwitter、このツイート全文がオートリンクされてしまのはどうかとおもう.com #newtwitterjp
2010-09-20 21:14:51
Masato Kinugawa
@kinugawamasato
こんな風になっている http://gyazo.com/37ffa5067eff3b226e7473dc6aa25479.png #newtwitterjp
2010-09-20 21:17:46
Masato Kinugawa
@kinugawamasato
もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの? http://bit.ly/aDhTs4
2010-09-21 16:37:04
Masato Kinugawa
@kinugawamasato
そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう!!!(新Twitterには対応していません) http://twitter.com/rainbowtwtr
2010-09-21 16:37:40
Masato Kinugawa
@kinugawamasato
#つけたのはクリックしてちゃんと飛べるようにするためであって#はXSSに必要ないです。URLの後に続くスラッシュとスラッシュの間にある@の後のダブルクォートがエスケープされずにタグの中に入る。 http://example.com/@"/
2010-09-21 18:16:08
Masato Kinugawa
@kinugawamasato
クリティカルな問題でありながら報告後長らく修正されなかったこと、さらにツイッター側が自ら脆弱性を公開したままにしており問題意識があまりにも低いことなどを考慮して、背後で巧妙に悪用されるよりは早急に問題の重大さを認識させ対策させた方がいいだろうという判断で虹を架けさせて頂きました
2010-09-21 19:55:39
Yoshimasa Niwa
@niw
修正作業を行い、先程のXSS問題は修正されました。多くの脆弱性のご報告ありがとうございます。 http://bit.ly/akp6bV
2010-09-21 23:04:31