投げ銭サービス「Osushi」、サービス開始するやいなやオモチャにされてしまう

Osushi公式 @_Osushi_Love_

さきほどサービスをリリースしました！ レッツ投げ寿司！🍣🍣🍣 osushi.love

PKA @PKAnzug

osushiという新しい投げ銭システム、どうもIT業の人たちの呟きを見るに「webサービスのシロウトがいきなりお金を扱うシステムを作ったせいで、あちこちガタガタでセキュリティ的にヤバい上に違法の可能性がある」ということのようで、面白そうでもしばらく遠巻きに様子見た方が良さそう。

よし野たかひろ @gb7k

osushiに悪いエンジニアがアタック仕掛けてて笑う

泡 @abcdekind

案の定Twitterの性格悪い連中がOsushiで遊び始めてて笑ってる

アオヤマ ミント @MintoAoyama

自分で自分にお茶を送れるのかー / お茶を @MintoAoyama に送りました🍵 osushi.love/MintoAoyama/me… #osushilove @_Osushi_Love_さんから

アオヤマ ミント @MintoAoyama

感謝の玉子を @MintoAoyama さんに送りました🙏🍣 osushi.love/MintoAoyama/me… #osushilove @_Osushi_Love_さんから

ひな @hnle0

倫理観を問われてる pic.twitter.com/rBMWcJIAff

拡大

kouhei @39ff

ユーザの同意なしにクレジットカード情報記憶すんなや pic.twitter.com/MigWtTwB8v

拡大

kb10uy @kb10uy

なんか1こしか送ってないのに3回決済されててめっちゃ受ける

kb10uy @kb10uy

pic.twitter.com/5lAd6FJZhU

拡大

旧ぱくとま @pakutoma_old

二重決済されててウケる

旧ぱくとま @pakutoma_old

りれきがひどい pic.twitter.com/L1W1eBvokZ

拡大

爆薬 @arclisp

すごい ユーザーIDに制限文字もなければサニタイズもされてないので特殊文字入れたら即死、他人と同じIDにできるというミラクルな仕様だ

あ @rit_ln

ユーザー名、既に使われているものへも変更可能っぽいな

kb10uy @kb10uy

pic.twitter.com/6RRdto4Qsm

拡大

拡大

kb10uy @kb10uy

osushi.love/%E6%AF%94%E9%8… というわけでパーセントエンコーディングは使えるみたいですね

kb10uy @kb10uy

いやいや使えたらまずくない？w

G2 @G2U

お、これいけた osushi.love/static/

よだれいぬ@ワクチン済 @pabroff_freeze

ユーザー名を /etc/passwd%00 にしたらプロフィールにアクセスできなくなったｗｗｗ

kosuge @9m

ユーザー名を login に変更したら終わってしまった