togetterの中の人 (デコレーション機能に脆弱性対応中)
-
- いいね!0
touji@t3
@toujitwtt
@yositosi togetterの中の人とお見受けしてお願いします。人づてで知りましたが技術的にこのような事ができるのは大変まずいと思われます。ぜひ早急にシステム的な対処を。> http://togetter.com/li/26927
2010-06-05 20:10:26
@syawatan
XSSキタ━━━━(゚∀゚)━━━━!! RT togetterのセキュリティーホール突いてみた http://togetter.com/li/26940
2010-06-05 20:33:45
@syawatan
@yositosi はじめまして。このたび http://togetter.com/li/26940 のようなことができたのですが、重大なので修正お願いします。あ、悪いことしようとしたわけではありません。
2010-06-05 20:51:51
@sotokanda_goro
RT @syawatan: @yositosi はじめまして。このたび http://togetter.com/li/26940 のようなことができたのですが、重大なので修正お願いします。あ、悪いことしようとしたわけではありません。
2010-06-05 20:59:55
うなりすと
@unarist
@yositosi 見てのとおり、とでも言えばいいんでしょうか、togetterにセキュリティホールが見つかったようなので報告しておきます。参考:http://togetter.com/li/26942 http://togetter.com/li/26940
2010-06-05 21:02:59
@62key
RT @syawatan: @yositosi はじめまして。このたび http://togetter.com/li/26940 のようなことができたのですが、重大なので修正お願いします。あ、悪いことしようとしたわけではありません。
2010-06-05 21:05:02
@YukiKazura
RT @syawatan: @yositosi はじめまして。このたび http://togetter.com/li/26940 のようなことができたのですが、重大なので修正お願いします。あ、悪いことしようとしたわけではありません。
2010-06-05 21:06:13
カル
@nullkal
@yositosi togetter重大な脆弱性(CSRF)を見つけてしまいました。修正おねがいします http://bit.ly/9F7u2P
2010-06-05 22:07:13
アリソン
@arisonjp
@yositosi 既出ですが、自分もTogetterで問題になっている方法がわかりました。ダイレクトメッセージ等送りたいのですが、送れないので困ってます。
2010-06-06 00:21:55
カル
@nullkal
Togetterの脆弱性 1: ツイートを捏造可能 2: スクリプト挿入の脆弱性で任意のスクリプトを実行可能 3: CSRFで第三者がユーザーの意思とは関係無く攻撃ページを開いたユーザーのアカウントでトゥギャることが可能 123全部組み合わせれば瞬く間に広がるスパムの完成
2010-06-06 00:28:16
カル
@nullkal
togetterの改竄の問題は取得したツイートを全部DBに突っ込んでクライアント側ではID使って処理するしかない CSRF対策はとりあえずはリファラ、できればワンタイムトークンがいいけど
2010-06-06 01:57:35