パスワードを忘れた? アカウント作成
257049 submission
セキュリティ

TwitterにXSS脆弱性が発覚、大騒ぎに 24

タレコミ by ioaia
ioaia 曰く、
公式ブログITmedia Newsなどによると、Twitterの公式webサイト上で表示されれるツイート(つぶやき)の中に任意のコードを挿入できる脆弱性が発見されたとのこと。ただし、脆弱性は既に修正されている。

脆弱性は、ツイート内のURLをリンクに変換する処理に問題があり、URLの後に一定の文字を付加することにより、Aタグに任意の属性を付加できるというもの。これにより、onmouseover属性などを使用して、JavaScriptで任意のコードを実行する事が可能となった。この脆弱性を利用したコードにより、ユーザが意図しないツイートがされるなどの問題が発生し、ユーザが他のユーザに公式webを使用しないように警告するなど、Twitter内は大きな騒ぎとなった。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2010年09月22日 15時04分 (#1828718)

    GIZMODO [gizmodo.jp]によると、「日本の@kinugawamasatoさんで、XSS脆弱性を見つけ8月14日報告したんですが、対応が遅々としてなされなかったため」だそうです。文字数制限を超えた投稿 [techcrunch.com]も日本人だったし、なんでこういう方向で才能をw

    • by Anonymous Coward
      今回以外の問題点を @twj なんかに何度も投稿して指摘してあげたことがあるけど、いつもガン無視される。Twitter の体質の問題だと思う。具体的に書くと身元割れそうだから書かないけど。
    • by Anonymous Coward
      正直低能エンジニア集団がまたやったかって感じ。今後も同様にバグ作りこむでしょう
  • 対策として (スコア:1, 参考になる)

    by Anonymous Coward on 2010年09月22日 14時40分 (#1828695)

    >(1)ログアウトする
    というのが挙げられているせいか、普段Webインターフェースを使っていないのにログアウトするためだけにWebアクセスに行くという本末転倒なことも一部で起きていたようで。
    言うまでもなくWebインターフェースを使っていない人がわざわざログアウトに行く必要はありませんというかむしろ危険です。

    • by Anonymous Coward

      いつものように誤情報がこれでもかってくらい飛び交ってましたからね。
      任意のJavaScriptの実行によってCookieの内容が読み取れる話に尾ひれがついて、
      一度でもクレカ使ったことのあるPCだとクレカ情報が抜き取られる(拡散推奨付きw)なんてのも見ました。

      •  Twitterですと、最近「なるほど四時じゃねーの」の騒ぎ [togetter.com]の時に、「発言を見ただけで感染するワームウイルス」などというデマも流れていましたね……。
         チェーンメールやmixi等で発生する連鎖書き込みよりはまだ、一次ソースを追いやすいし訂正も伝播しやすいですが、それでもやはりデマに踊らされないようにユーザーが注意していかないと、こういったトラブルの際に被害が拡大しそうに思えます。
        (今回の場合、閲覧するだけで問題が起きていたために更に悪化した面も強いでしょうが)

        親コメント
      • by Anonymous Coward
        そしてWebIFしか使ってない人に伝えるためにツイートするという本末転倒も。
        鎮火させたいのか炎上させたいのか意味不明な状態に。
  • by s02222 (20350) on 2010年09月22日 14時53分 (#1828709)
    140文字以内のコードでどこまでできるかチャレンジ大会になってたりしたのかな?
  • by Anonymous Coward on 2010年09月22日 15時11分 (#1828726)

    スクリプト入れないとツイート見えない仕様にしやがった!

    • by Anonymous Coward
      offで見える人と見えない人がいるのはなぜ。

      onにしないとつぶやけなくなったのは欠陥。
    • by Anonymous Coward

      専用アプリ使えばいいじゃない。

  • by Anonymous Coward on 2010年09月22日 16時13分 (#1828782)

    「フォロワーがスパムツイートしてたからリムーブした」
    なんて言ってるユーザが件のツイートをRT(自分も踏んだ)してるのは滑稽でした

  • by Anonymous Coward on 2010年09月22日 18時54分 (#1828921)

    閑古鳥鳴いてる

    • by Anonymous Coward

      みんな専用クライアント使ってるから対岸の火事で、
      気がついたらもう火が消えてたとかそういう感じだと思う

  • by Anonymous Coward on 2010年09月23日 0時13分 (#1829076)

    >脆弱性は、ツイート内のURLをリンクに変換する処理に問題があり、URLの後に一定の文字を付加することにより、Aタグに任意の属性を付加できるというもの。

    どっかの誰かが「URLの後に一定の文字を付加した内容」をツイートしたことで、他の数千万のユーザーに影響が及んだってことなんすか?

    (オレの場合、空送信だけでTL表示がおかしくなったので。)

    • by Anonymous Coward
      URLの後にmodal-overlay上でonmouseover時にそのポストをRTさせる、つまりwebで見た瞬間にそのツイートをRTさせるワームtweetがありまして、それが数千万のユーザのタイムラインに現れたという事でしょう。

      そういったtweetの中にアップローダとか短縮URLを使ったものがあり、アップローダやURL短縮サービスが数千万のタイムラインからDoS攻撃受けてたようなものなんで、そこが一番の被害者でしょうね。
      • by Anonymous Coward

        ありがとうございます。
        つまりtwitterにクロスサイトスクリプティング脆弱性が存在している状態で

        1.ある人物が、その脆弱性を利用したツイートを投稿
        2.上記のツイートが、他の数千万のタイムラインに出現
        (つまり各人のWEBブラウザ上では、勝手にRTするなど異常動作を行うJavaスクリプトが混入したhtmlが表示されている)
        3.1で投稿されたツイートは、twitter側のhtmlを生成するプログラム自体を書き換えているわけではない。

        という理解でいいんでしょうか。

        悪意あるコードが含まれているとは云えいわば単なるツイート文が、遠く離れた他の数千万の公式クライアントに影響するってのが、なかなかピンとこないのです。

typodupeerror

人生unstable -- あるハッカー

読み込み中...