@kinugawamasato 正/純ハッカーによる 脆弱性報告と、怒りと、行動的対策要求 #hack #twitter #security
- millionsage
- 5376
- 0
- 3
- 0
新Twitter、a://example.com とかでリンクになる。javascript vbscript data とか危険なスキームはブラックリストでリンクにならないようになっているかんじだが抜け道がありそうで危なっかしい #newtwitterjp
2010-09-18 23:57:38New Twitterは 192.168.1.1 とか書いてもオートリンクが働く #newtwitterjp
2010-09-19 23:22:38NewTwitter、このツイート全文がオートリンクされてしまのはどうかとおもう.com #newtwitterjp
2010-09-20 21:14:51こんな風になっている http://gyazo.com/37ffa5067eff3b226e7473dc6aa25479.png #newtwitterjp
2010-09-20 21:17:46もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの? http://bit.ly/aDhTs4
2010-09-21 16:37:04そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう!!!(新Twitterには対応していません) http://twitter.com/rainbowtwtr
2010-09-21 16:37:40#つけたのはクリックしてちゃんと飛べるようにするためであって#はXSSに必要ないです。URLの後に続くスラッシュとスラッシュの間にある@の後のダブルクォートがエスケープされずにタグの中に入る。 http://example.com/@"/
2010-09-21 18:16:08クリティカルな問題でありながら報告後長らく修正されなかったこと、さらにツイッター側が自ら脆弱性を公開したままにしており問題意識があまりにも低いことなどを考慮して、背後で巧妙に悪用されるよりは早急に問題の重大さを認識させ対策させた方がいいだろうという判断で虹を架けさせて頂きました
2010-09-21 19:55:39修正作業を行い、先程のXSS問題は修正されました。多くの脆弱性のご報告ありがとうございます。 http://bit.ly/akp6bV
2010-09-21 23:04:31