Twitter XSS騒動
2010年9月22日(水曜日)
Twitter XSS騒動
公開: 2010年9月28日16時35分頃
TwitterでXSSによる攻撃が行われていたようで……「Twitterブログ: 「マウスオーバーの」問題についての全容 (blog.twitter.jp)」。
日本時間の昨晩、ユーザーがこのセキュリティホールに気づき、Twitter.comにてそれを悪用しました。まず、誰かがアカウントを作成し、この問題を悪用しました。具体的には、そのツイートのリンクにユーザーがマウスオーバーすると、ツイートが異なる色に変化し、テキストを表示したポップアップ画面が表示される仕組みでした。このため、「マウスオーバーの」問題と呼ばれています。このセキュリティ上の弱点を付いた悪用は、ユーザーがリンクにマウスオーバーした時に発生しました。
これは、この辺りの話ですね。
もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの? http://bit.ly/aDhTs4
そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう!!!(新Twitterには対応していません) http://twitter.com/rainbowtwtr
Twiiterブログでは「昨晩、ユーザーがこのセキュリティホールに気づき」と言われていますが、ずっと前に気づいていて報告していたのにスルーされていて、しかもTwitter側によって事実上公開されていたというお話のようで。このRainbow Twitterはそれ自体は特に害のないPoCに過ぎませんが、これを見て実際に攻撃コードを作成した人がいて、ワームのように被害が広がったと。
まあ、良くも悪くも、XSSで実際に被害が出た例として語り継がれることになるでしょう。
- 「Twitter XSS騒動」にコメントを書く
関連する話題: Twitter / セキュリティ / クロスサイトスクリプティング脆弱性
- 前(古い): ポケモンすれ違い革命
- 次(新しい): 情報セキュリティ白書2010
