HootSuiteにクロスサイトスクリプティング脆弱性があったよ

HootSuite(ウェブ版)のFacebookニュースフィード閲覧機能に、特定の条件下でクロスサイトスクリプティングの脆弱性があることを見つけました。発見からIPAへの届出、修正確認、取扱い終了に至る過程でのつぶやきを纏めました。
2

HootSuiteのウェブ版でXSS脆弱性を発見

Twitterの他にFacebookのニュースフィードもHootSuiteで見ているのですが、自分の投稿に違和感を感じたのでテストしたところ、クロスサイトスクリプティング脆弱性があることを見つけてしまいました。

自分のFacebookでの投稿に違和感が...

このアカウントは死にました(旧ぴずも) @pismo_kumachan

ちょっとテスト♪

2013-07-12 00:01:29
このアカウントは死にました(旧ぴずも) @pismo_kumachan

う〜ん…

2013-07-12 00:03:35
このアカウントは死にました(旧ぴずも) @pismo_kumachan

なんでもなかった。

2013-07-12 00:14:01
このアカウントは死にました(旧ぴずも) @pismo_kumachan

HootSuiteの挙動が怪しかったのでテストしたけど大丈夫かな?HTMLタグのエスケープの仕方がチョットおかしいけど。

2013-07-12 00:20:32

脆弱性を確証

このアカウントは死にました(旧ぴずも) @pismo_kumachan

あっ!((((;゚Д゚))))ガクガクブルブル

2013-07-12 00:39:59
このアカウントは死にました(旧ぴずも) @pismo_kumachan

あっ!暗号化しないで送ってしもた…

2013-07-12 01:11:01

愚痴です(笑)

このアカウントは死にました(旧ぴずも) @pismo_kumachan

カネにならんことばかりやってるような気が…

2013-07-12 01:21:16
このアカウントは死にました(旧ぴずも) @pismo_kumachan

懸賞金が欲しい(苦笑)

2013-07-12 01:21:47

届出しました

このアカウントは死にました(旧ぴずも) @pismo_kumachan

IPAへの届け出は毎回緊張するなぁ。

2013-07-12 02:34:08
このアカウントは死にました(旧ぴずも) @pismo_kumachan

取り敢えず受理された。連絡先がよくわからないので取り扱いは開始されていない。

2013-07-16 15:12:21
このアカウントは死にました(旧ぴずも) @pismo_kumachan

取扱開始キタ━━━━(゚∀゚)━━━━ッ!! 何日で修正されるだろ?

2013-07-18 14:25:50

修正されたことを確認

このアカウントは死にました(旧ぴずも) @pismo_kumachan

あっ!修正されたっぽい。

2013-07-23 14:21:10
このアカウントは死にました(旧ぴずも) @pismo_kumachan

さすがに日本に腐れ上場企業と違って対応早いわ。

2013-07-23 15:19:44
このアカウントは死にました(旧ぴずも) @pismo_kumachan

修正完了の連絡は明日かな?

2013-07-23 18:22:28
このアカウントは死にました(旧ぴずも) @pismo_kumachan

ブログの素材準備完了。取扱い完了したら書くよ。既に修正はされているけど、連絡待ち。

2013-07-24 00:21:21
このアカウントは死にました(旧ぴずも) @pismo_kumachan

あれ?今日も修正完了の連絡来ないなぁ。

2013-07-25 18:12:57
このアカウントは死にました(旧ぴずも) @pismo_kumachan

つか、修正完了連絡来ないなぁ。

2013-07-30 16:12:46

いつまで経っても修正完了連絡が来ないので

1 次へ

いま話題のタグ

コーエーテクモ26 ヒガシマルうどんスープ12 ねほりんぱほりん136 ひろゆき416 地震3709 男女430 6056 学級会44 よんてんごP60 ロイヤルホスト44 マンガ41217 村木風海4 大学2940 氷河期世代130 ルックバック36