2010年6月5日

togetterの脆弱性まとめ

2009年6月5日にTogetterに以下の脆弱性が発見されました。 1. ツイートを捏造可能 2. デコレーション機能を悪用して任意のスクリプトを実行可能(スクリプト挿入) 3. Togetterにログインした状態特定のページを開いた人のアカウントで勝手にトゥギャることが可能(CSRF) 続きを読む

Togetter 運営さん宛脆弱性

nullkal
5854
3
0
24
0

20

laiso👻 @laiso

Togetter - まとめ「Togetterで捏造ツイートを投稿できるかのテスト」 http://togetter.com/li/26927

2010-06-05 19:23:58

laiso👻 @laiso

これ対策たいへんそうだなあ

2010-06-05 19:25:51

laiso👻 @laiso

でもTogetterほどのサイトつくれる人ならたぶん認識してそう

2010-06-05 19:52:45

laiso👻 @laiso

クライアントでHTMLが書き換えられないようにするのってjsでできるのかなあ

2010-06-05 20:13:37

laiso👻 @laiso

status_idを全部検出にかけるとかはちょっとUX落しまくるよねえ

2010-06-05 20:14:36

laiso👻 @laiso

んースマートな対策を模索してみたんだけどわからない。はてなの詳しいひとにまかせます

2010-06-05 20:50:26

laiso👻 @laiso

あ、 http://b.hatena.ne.jp/rna/20100605#bookmark-22086442 でいいのか（？）

2010-06-05 20:53:52

laiso👻 @laiso

http://twitter.com/rikuo/status/15482649853 がキモっぽい

2010-06-05 20:54:33

とぅぎゃったーであそぶ

2010-06-05 20:12:53

「togetterのセキュリティーホール突いてみた」をトゥギャりました。 http://togetter.com/li/26940

2010-06-05 20:16:26

とぅぎゃったーおもしれぇｗ

2010-06-05 20:16:43

さーてtogetter捏造祭りの始まりだ

2010-06-05 20:19:09

追加 http://togetter.com/li/26940

2010-06-05 20:20:29

いとおちゃん @i315

ま　た　お　ま　え　かいいなぁ http://togetter.com/li/26940

2010-06-05 20:25:29

いやまぁ俺が同じようなの作ったらこれと同じセキュリティーホールできるなぁｗ

2010-06-05 20:23:10

おいしい RT togetterのセキュリティーホール突いてみた http://togetter.com/li/26940

2010-06-05 20:26:57

さーて別のホールつくぞ。

2010-06-05 20:27:04

実際に存在しないアカウントにリンクさせることに成功

2010-06-05 20:29:25

XSSｷﾀ━━━━(ﾟ∀ﾟ)━━━━!! RT togetterのセキュリティーホール突いてみた http://togetter.com/li/26940

2010-06-05 20:33:45

あとは画像入れておしまいにしようｗ

2010-06-05 20:37:31

えへへ http://togetter.com/li/26940

2010-06-05 20:41:03

カル @nullkal

XSSでは無いと思うのだがなあ http://togetter.com/li/26940

2010-06-05 20:41:52

@nullkal これでcss使えばjs埋め込めるんじゃない？

2010-06-05 20:42:28

カル @nullkal

@syawatan それはスクリプトインサートです

2010-06-05 20:43:31

@nullkal えー

2010-06-05 20:44:08

1 2 3 次へ

いま話題のタグ

ゲゲゲの謎16 脱毛70 ポケモン1922 ねこ2433 ゴジラ-1.029 ファンタジー1657 遭難82 柴犬249 承認要求4 岸田文雄198 イラストレーター762 ゲゲゲの鬼太郎197 初見感想からしか取れない栄養素がある25 おがくず153 パソコン2123