【新機能】作り忘れたまとめはありませんか?31日前まで期間指定してまとめが作れる高度な検索ができました。有料APIだからツイートの漏れはありません!
361
ログインして広告を非表示にする
TERRY @terry_u16 2017-04-28 12:02:34
湯婆婆「契約書だよ。そこに名前を書きな。働かせてやる。」 千尋> <script type="text/javascript">for(;;){alert("んほぉぉ!イッぐぅぅ!!");}</script> 湯婆婆「フン。んほぉぉ!イッぐぅぅ!!んほぉぉ!イッぐぅぅ!!んほ
TERRY @terry_u16 2017-05-01 18:58:40
えっJanetter……まじすか……?
TERRY @terry_u16 2017-05-01 18:59:56
ちょっとまだ状況が飲み込めてない
TERRY @terry_u16 2017-05-01 19:06:06
なんかどうも僕のクソネタツイートの超絶初歩的なクソXSSがJanetterにぶっ刺さって「んほぉぉ!イッぐぅぅ!!」って無限にダイアログが出ているらしくこういうときどんな顔したらいいのかわからない twitter.com/terry_u16/stat…
TERRY @terry_u16 2017-05-01 19:06:38
なんというか……なんかすみません……
TERRY @terry_u16 2017-05-01 19:08:37
いや嘘でしょ……?
TERRY @terry_u16 2017-05-01 19:10:17
Janetterをイかせた男とかなんか嫌すぎるんで嘘だと言ってください
TERRY @terry_u16 2017-05-01 19:22:13
混乱した頭で呆然としながら永遠に止まらないTwitterの通知欄を見つめている
TERRY @terry_u16 2017-05-01 19:24:05
というかこの脆弱性が本当なら割とマジでヤバいのでもし万が一Janetterを使ってる方がいらっしゃいましたら対応されるまでご利用をお控え頂きますと幸いです…… twitter.com/terry_u16/stat…
ぜんまい @zenmai577 2017-05-01 19:27:03
学がないからてりーくんさんがバズってるツイートの意味がわからない。
TERRY @terry_u16 2017-05-01 19:32:14
@zenmai577 ざっくり言うと「アホプログラムが書かれたツイートを脆弱性のあるTwitterクライアントで表示しようとしたらそのプログラムがそのまま実行されちゃった」って感じですね。悪用されると理論上どんなプログラムも動かせちゃうので割とシャレになってない感じです……
ぜんまい @zenmai577 2017-05-01 19:33:12
@terry_u16 そのクライアントにデバッグしたったぞっつったら謝礼もらえるのでは?(意地汚い
TERRY @terry_u16 2017-05-01 19:41:14
@zenmai577 逆に損害賠償請求されないかビクビクしてるわw
TERRY @terry_u16 2017-05-01 19:44:55
いやこんなオチさすがに想定外すぎるやろ……(困惑)
TERRY @terry_u16 2017-05-01 20:00:40
「Janetterでそんなんなってるのかやってみよ」的なツイートをちらほら見かけるんですが最悪悪意あるスクリプト(プログラム)を埋め込まれてやりたい放題されかねないので使用をお控え頂きますことを重ねて強くお勧めいたします…… twitter.com/terry_u16/stat…
TERRY @terry_u16 2017-05-01 20:09:38
仮にも一企業が製作して公開したTwitterクライアントが湯婆婆と同レベルのセキュリティなのさすがに想定外すぎて頭抱える
TERRY @terry_u16 2017-05-01 20:27:30
(そもそもPC版Janetterってまだ生きてたのか……)
TERRY @terry_u16 2017-05-01 20:37:08
Twitterの通知欄に1500回くらい「んほぉぉ!イッぐぅぅ!!」って表示され続ける僕の身にもなってほしい
でーぜろ @de0 2017-05-01 20:38:18
JanetterにXSS刺さるのどうせ更新ほったらかしにしてる奴だけやろと思って試してみたら表示だけなら問題ないけどミュート登録時に普通に最新版でも発動してひどい
TERRY @terry_u16 2017-05-01 20:45:11
まあセキュリティの良い教材になったと思えばいい……のか……?(よくない)
TERRY @terry_u16 2017-05-01 20:54:02
最初に湯婆婆ツイートしたときは10人くらいの人にクスッと笑ってもらえたらいいなくらいの気持ちだったのにどうしてこうなった
TERRY @terry_u16 2017-05-01 20:56:44
誰か詳しくない人にも分かるようにスクリプトインジェクション脆弱性の危険性について解説した記事書いてくれないかな(丸投げ)
TERRY @terry_u16 2017-05-01 20:59:25
というか僕も専門は情報じゃなくて機械工学なのでXSS詳しい人に教えてほしい
きょうしつ @zouwoutu 2017-05-01 19:50:31
話題のJanetterの脆弱性の件、手順も含めて検証してみた。 「スクリプトが含まれるツイートを範囲選択>右クリック>ミュートアプリに追加」の手順で確かにスクリプトが動いた。「ミュートワードに追加」でも動く。前後に無関係の文字列が入っていても動く。 これはひどい。 pic.twitter.com/O3JKP9O6cS
 拡大
 拡大
 拡大
 拡大
TERRY @terry_u16 2017-05-01 21:27:13
Janetterのメンテしてる人(いるのか?)がGWに急遽会社に呼び出されないことをお祈りしております……
残りを読む(43)

コメント

mikan @mikanjaechun 2017-05-02 00:41:03
ツイートとプログラムってつながるの?(まずそこから)
ARENA @Arenacyan 2017-05-02 00:41:11
Janetter(PC版)って実質的に開発終わってるのか。他に代替アプリが無いからスマホアプリ(Janetterではないw)と併用って形で使ってるけど引用とか文字数とか色々対応してなくて不便には不便。
夢乃 @iamdreamers 2017-05-02 01:38:16
笑い事ではないんだけど笑えてしまう。 mikanjaechun ツイートとプログラムが繋がるって言うより、ツイートに書いたプログラムがJanetterに表示したときに実行されてしまう、と言えばいいのかな? 本当は"<script>プログラム</script>"と表示されないといけないのが、「プログラム」って部分が実行されちゃう感じ。(この説明で伝わるのかな?)
たるたる @heporap 2017-05-02 02:15:54
自分で操作(テキストを選択してメニューから追加)する必要があるなら、危険性はかなり少ない。ただ環境がツイッターなので「このコードを○○すると面白いよ」的なツイートが出ないとも限らないので、安易に従うのはやめるべき。
たるたる @heporap 2017-05-02 02:30:44
ツイッターの字数制限はあるだろうけど、ある条件下なら、100字程度あれば何でもできる。
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2017-05-02 02:44:03
開発止まってたからてっきり、対応しない、公開停止、使ってるなら乗り替えろ、になると思ってた。対応お疲れ様です、ずっと愛用してます……。
ちはや🌸🐱 @Chihalog 2017-05-02 03:40:27
機能追加がされないままのWin版のJanetterを使ってるので笑えない……(>_<)
ちはや🌸🐱 @Chihalog 2017-05-02 03:44:31
あ。モーメントのまとめもあります → Janetterで「んほぉぉ!イッぐぅぅ!!」ダイアログが出る問題 by ばんくし(@ vaaaaanquish)さん https://twitter.com/i/moments/858582877310726145
おねむ @onemu1846 2017-05-02 04:13:57
何の気なしにTwitterクライアントをイかせるとかゴットフィンガー過ぎでしょ
dona @dona_mq 2017-05-02 05:08:08
タイトル、「ダイアログが出る体にさせられる」ってなってるけどこの場合「最初から無限にダイアログが出る体だった」が正しくね?「俺が開発する前からお前には淫乱の素質があったんだよ」的な(クソリプ)
ハナ・ターレン(洟大人) @hanataray 2017-05-02 05:30:51
お笑いごとかと思ったらいろいろ考えさせられるなあ
湯飲み @sencha_inYunomi 2017-05-02 06:59:51
dona_mq 問題のコードに無条件で無限に例のコメント表示が繰り返される設定(for文)がありましてな。
湯飲み @sencha_inYunomi 2017-05-02 07:03:17
仮にこれでfor文使わなかったり、回数上限設定しとけば無限表示バグは防止できたかもしれない(それでもツイート表示の度にイク上、根本的な脆弱性に変わりはないが)
Mill=O=Wisp @millowisp 2017-05-02 07:18:21
Twitterクライアントの中では一番気に入ってるのだけどなぁ
Mizuta Fumitaka @Humi_TW 2017-05-02 07:22:41
脆弱性としては結構ありきたりな部類なんだけれど、洒落にならないよなあ〜アホtweetで発覚して良かったと言うべきか(^^;;
Kita @_hktok 2017-05-02 07:22:48
これは誰が悪いで括れる話ではなさそうな
fg118942 @fg118942 2017-05-02 07:28:44
不謹慎だけど、ウケ狙いのネタツイートで脆弱性見つかるのは笑える
幸箱亭ミミック(妖怪はげまーき) @happys_toolbox 2017-05-02 07:32:03
何にしろ即時対応されているPGさん頭が下がります。
あおいきつね @aoikitsune 2017-05-02 07:46:06
平成のサイバー韋駄天イカせ男…
Heyw65kZ4RiU @29zgJQepexzZ 2017-05-02 08:02:33
</script>「へっへっへっ こんなに(セキュリティが)ガバガバになっちまいやがって…」 Janetter「らめぇ! (ウインドウ)出すのやめてぇ!」
伍長 @gotyou_H 2017-05-02 08:29:36
庭木にハイタッチしたら根腐れしてて倒れ込んで家屋破損みたいな流れ
魔法少女チノ@ゆずと八月と角砂糖 @nsmr0604 2017-05-02 08:33:35
今時のWebサービスのアプリ実装ではXSS対策なんて最初にやるべきこと。開発が止まって久しい化石プログラムには荷が重いかな しかも開発元がジェーンなので技術力は。。。
もうだめぽ @moudamepo150701 2017-05-02 08:38:56
janetterは中の人が色々とアレな人間なんで俺は絶対に使わない
紺碧 @Konpekin 2017-05-02 08:40:27
ツイッター公式でもかつて、ツイートされたscriptが起動してしまう脆弱性があって、発見した人が公式画面がバラバラになるお遊びscriptを拡散して祭りになったり、かと思いきやマウスオーバーでスパムを踏ませる悪意ツイが現れたり、一晩色々と大騒ぎになった事件ありましたよね…?もう知ってる人も少ない話なんだろうか…
SAKURA87@多摩丙丁督 @Sakura87_net 2017-05-02 09:07:13
ワロタ(急いで自分のプログラムを確認しつつ)
仰凝亭源蔵@Genzouおじさん @gogot_man 2017-05-02 09:28:20
あれ?最初は面白かったのに、見てるとだんだんと胃が痛くなってきたぞ…?
アルビレオ@炙りカルビ @albireo_B 2017-05-02 09:38:29
Konpekin それってたぶんニコニコ動画の方が元ネタだよね。ニコニコはスクリプト実行できる脆弱性はふさいだけど、センスがあって特に実害のないいたずらへのリスペクトとして、そのスクリプトだけは実行可能にしたという
Dan Kogai @dankogai 2017-05-02 09:51:09
逝ってしまったはずのアプリがイカされ続けてる件
SAKURA87@多摩丙丁督 @Sakura87_net 2017-05-02 10:00:30
Janetterは逝ってしまったわ。XSSの理に導かれて。
BugbearR @BugbearR 2017-05-02 10:26:42
これ単にツイート見ているだけでは発動しないんですよね? なので、そこまで危険性はないと思う。自分からミュートに突っ込んだ時に発動ですね。2年間発覚しないのも納得です。
3Dポーズ集 @3dpose 2017-05-02 10:34:38
なんで"<"と">"をエスケープしなかったんだ……。
いちごまよ@もちもちぼくせる @15my 2017-05-02 10:41:42
最近のブラウザだと「☑これ以上表示しない」があることを考えるとブラウザコンポーネントが古すぎやね...
Jean-Luc Picachu @JeanLuc_Picachu 2017-05-02 10:44:34
せめて無限ループじゃなければなぁ。
cinefuk 🌀 @cinefuk 2017-05-02 10:57:16
投稿者のユーザクライアントを確認の上 #Janetter を使ってる人めがけてDMを投げれば、XSS攻撃できるということか(即時使用停止推奨)
さかべあらと @sakabe_arato 2017-05-02 11:01:33
デスクトップ版は長いこと開発停止状態で、絵文字に全く非対応だったり、近年のTwitterのバージョンアップに全然ついていけてない状況なんだけど、あれより使い易いと自分が思うものが見つからなくて結局使い続けてるのよなぁ
ボルフォッグ @kigantetu11 2017-05-02 11:04:39
ぼくはまちちゃん! こんにちはこんにちは!!
山元 太朗 @tarogeorge 2017-05-02 11:16:12
モバツイがサービス停止でJanetterに移って、ようやくアクセスできるようになったばかりだというのに…
平島ともみ @cbw_hirashima 2017-05-02 11:27:08
無限ループが起こったら一種のセキュリティホールでGW期間中はお祭り騒ぎになっていたりして
mere @yoyo_mere 2017-05-02 11:51:46
鼻水でるほど大笑いした後に自分の仕事を思い出して段々笑えなくなった……
大竹林賢一郎 @rkouskysi 2017-05-02 11:55:44
無意味にイかされるだけなら不具合解消はGW開けでいいと思うけど、そうもいかないんだろうなぁ
傘張長也@おとボク3きたー @ZanderSouKu1 2017-05-02 11:59:15
「へーおもしろそう」って感じで他のでも試す輩が出てくることを考えると、笑い事でも他人事でもないんで、マジ勘弁してください。せめてGW明けてからぁぁぁぁぁ
y "masa" x @ymasax 2017-05-02 12:03:16
まぁよくある話です。Janetterだけじゃない。
やすゆき @Seto_yasu1987 2017-05-02 12:15:33
湯婆婆への何気ない風評被害について
ユーコン @yukon_px200 2017-05-02 12:20:50
この人はnanaterryの作者さん?いつもお世話になってます。サイバーテロ行為で逮捕されてもnanaterryの更新は続けて下さいねw
y "masa" x @ymasax 2017-05-02 12:31:26
つかXSSじゃないような?
ぬこち@真央ロス @nukochi75 2017-05-02 12:43:54
ごめんけどめちゃわろたwwwww
裏方 @bckyarD__ 2017-05-02 12:52:50
昼のカップヌードルを吹くか吹かないかの瀬戸際
@door06764388 2017-05-02 13:01:03
休日返上で逝くわけか……
珈琲牛乳 @coffreexx 2017-05-02 13:22:06
凄い笑ったあと、GW返上の悲哀を深く感じている
佐渡災炎 @sadscient 2017-05-02 13:50:01
いまどきこのレベルのXSSが刺さるとか思わんよなぁ…
CV-15 Randolph @RandolphCarter 2017-05-02 14:10:47
湯婆婆イきすぎて死んでまう
節穴 @fsansn 2017-05-02 14:39:34
まぁシャレで済む話で脆弱性が見つかったのは不幸中の幸いなんとちゃう
kartis56 @kartis56 2017-05-02 14:43:49
テストするときループはちゃんと止まるように書けという…
翔塵 @syouzin 2017-05-02 14:54:37
お腹を抱えて笑ってしまったw
the loyaltouch @theloyaltouch 2017-05-02 14:54:42
kigantetu11 ややこしいけどそいつはXSS(クロスサイトスクリプティング)ではなくCSRF(クロスサイトリクエストフォージェリ)、そして当本文はXRP(クソリプ)
koromon @yamadian 2017-05-02 15:14:44
XSS脆弱性ってもともとよく知らない人でも比較的理解しやすくて面白いよね
とら@AHC @TIG0906 2017-05-02 15:30:12
担当PGの休日出勤手当てが満額支給されることを願ってやまない
@kuronekosanX 2017-05-02 15:35:13
janetterから変えたいけれど、返信ボタンを押していくだけで簡単に複数人のリプライをまとめられるクライアントを他に知らない
CVB @NqL7i7n1NitbuL0 2017-05-02 15:38:19
これで潰れた休日に対してなんらかの補填があることを願ってやまないけど……ないんだろうなぁ…
亜山 雪 @ayamasets 2017-05-02 15:40:37
PHPだと入ってくる文字列はとりあえずhtmlspecialcharactersでエスケープするよね。それとバッファオーバーランを防ぐために適切な長さでカットする。
nekosencho @Neko_Sencho 2017-05-02 15:41:04
開発の人が社員じゃないっぽいんだがどういう体制なんだろう
虐殺仮面 @TruthorDare1984 2017-05-02 15:57:51
これ音声読み上げ機能とか入れてたら・・・
TD-M18もっこㄘん @Mokko_Chin 2017-05-02 16:16:26
マジかよババァ変態だな。
TERRY @terry_u16 2017-05-02 16:33:27
PC版Janetterがアップデートされ、脆弱性が修正されたそうです。素早い対応本当にお疲れ様でした……! http://janetter.net/jp/history.html
akya (T.Enomoto) @akya_san 2017-05-02 17:02:25
こんなの見せられたらJane styleも隠れたセキュリティホールが有りそうで怖い(なお2ちゃんねるの仕様上乗り換えは)
いちごまよ@もちもちぼくせる @15my 2017-05-02 17:51:19
ところで最近マストドンのクライアントが大量に出てるじゃろ...。そいつらが実装に掛けた時間を考えるとあんまり(省略されました
魔法少女チノ@ゆずと八月と角砂糖 @nsmr0604 2017-05-02 18:44:07
そうね、Mastodonもタグがまんまデータとして降ってくるから気をつけなくちゃね
Daregada @daichi14657 2017-05-02 18:44:48
いやいや、今回は古いソフトの見つけにくい場所に残ってたってだけで、このレベルの初歩的なエスケープ忘れてました案件が新規作成するソフトにあるはずが...
佐野 剛士 @akumatengoku 2017-05-02 19:03:54
修正されたのね。Janetterより使いやすいPCクライアントがないんだよねえ。あったら教えて下さい。
@todohami 2017-05-02 19:21:28
対応ありがとうございます。
如月ダーク(KADONE) @dark_kisaragi 2017-05-02 20:10:19
デバッガー経験有りとしては、こういうのを見つけた時ほどテンションが上がるものはない……だが流石に実機上で実際にぶっ刺さった人には同情を禁じ得ないし素早く対応してくれたJanetterのプログラマさんにも頭が上がらない
ビッター @domtrop0083 2017-05-02 20:13:36
悪意あるスクリプトじゃなくてよかったなぁ。
🚮 @recyclebin5385 2017-05-02 20:30:35
XSSじゃないんじゃねと思ったが今はXSSの定義が広くなっていてこれは格納型XSSに含まれるものらしいな
ちはや🌸🐱 @Chihalog 2017-05-02 20:35:22
脆弱性のおかげかもでかで、最近のツイッター本家の変更に一部対応されたうえで配信されてうれしいー!
ウニ友達 @Bonboriman 2017-05-02 21:52:13
更新終了したプログラムには気をつけよう!(YUSK注意喚起シリーズ)
ㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤ @ScreamIcecream7 2017-05-03 01:07:43
株式会社ジェーンみたいなクソ会社のクライアントなんてそんなもんだからね 辞めた人間が修正してるって何事だよって思っても技師というものがマジであの会社には存在しないんだからしゃーない
なちゃ @nachakey 2017-05-03 01:22:47
で仕組み上これは本当にXSSになってるのかな(なってる気もするけど)。 XSSなら何でも実行できるなんて話にはならんけど。 なんでも実行できるかどうかはクライアントの作りによるけど、普通にコンポーネント使ってるならやや考えにくい気がする。 あとXSSは知らない人でもわかりやすいと言ってる人いるけど多分分かってない。 XSSは、なぜ脆弱性になるのか、素人にはむしろやや分かりにくい部類に入る気がする(分かった気にはなりやすいかもしれない)。
sou51@4/23ZeppOsakaBayside9/4ズムスタ9/5広島クラブクアトロ @_sou51_ 2017-05-03 01:44:39
Chihalog ほんとそれ。脆弱性対応だけだと思ってたから、地味にありがたい
亜山 雪 @ayamasets 2017-05-03 02:30:24
クロスサイトスクリプティングというよりはJavaScriptインジェクションやね。
アルビレオ@炙りカルビ @albireo_B 2017-05-03 04:33:11
ayamasets その二つを別のものとして切り分ける定義が思い浮かばないです
メカめがね @freakmeganeout 2017-05-03 06:15:01
XSSの「クロスサイト」という名称はあくまで歴史的なもので、初期はサイト横断的なスクリプトのみを指していたが、現在は単独のサイトで完結するものもXSSに含まれる…と勉強した記憶がある
亜山 雪 @ayamasets 2017-05-03 13:16:17
freakmeganeout そうだったのか。勉強になった、ありがとうございます。
y "masa" x @ymasax 2017-05-03 16:33:18
ん?このスクリプトを他人が実行することが可能であった場合に悪意のあるスクリプトをしこんでおき、他のサイトから大量にユーザーをリダイレクトするように仕込んでおくとこのサイトが大量のユーザーを攻撃できるようになるというもの。スクリプトが実行できるのは自分のみのようでそれならばXSSのターゲットにもならないかと。
アイトレーサー @kiwifruit_cake 2017-05-03 19:47:17
書き込んで1コマンドですぐ絶頂。
碧 ~清風朗月~ @Turkis_Mond 2017-05-03 21:04:12
ご無沙汰ぶりのアップデート(ver.4.4.0.0)がリリースされて穴は塞がれました。いつになく速い対応でびっくり
うてん。 @uten00 2017-05-04 00:23:38
はまちちゃんの時もそうだけどこれ気づいてる人はいたかもしれないが大ごとにしないと対処はなかなかされなかったろうなー。「化石みたいなセキュリティホールを実行するネタ」がそのままプラスになった。ツイート元の人は申し訳なく思う必要ない。むしろグッジョブです。
宮林@ 豊橋市 @pcmiya 2017-05-04 02:06:13
ありがたや~。 検索がGoogleになったのが地味に嬉しい。
あや@今季現地2勝1敗 @aya11misako03 2017-05-04 14:31:35
笑ったらあかんけど笑ってもた。
枝毛上げ @edageage 2017-05-04 14:52:48
ダイアログの「OK」も面白い。あらゆる意味でOKじゃねえんだよなあ
ディアリーン@シンゴジ実況乙彼でした @amatuki314 2017-05-04 22:41:26
想定外の穴はいっぱいあるから・・・ 何年か前には特定のキー連打されるとWinのロックが解除されるとかもあって、見つけたの5~6歳の子供だったとか
黄月 @h_ln66 2017-05-05 11:55:09
Janetterにも穴はあったんだね……。
köümë @tknr_koume 2017-05-05 20:39:22
2ちゃんねる運営Jimが専用ブラウザの作者にTwitterで暴言 - NAVER まとめ https://matome.naver.jp/odai/2142419396168680301
たけ爺 @take_ji 2017-05-06 15:38:25
ファントム無頼の”50セントの指令”思い出したわ。
HellcatFU @doracatFU 2017-05-15 20:33:03
修正されましたか 開発者様 本当にありがとうございました・・・

カテゴリーからまとめを探す

「インターネット」に関連するカテゴリー

ログインして広告を非表示にする
ログインして広告を非表示にする