水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Twitter XSS騒動

Twitter XSS騒動

2010年9月22日(水曜日)

Twitter XSS騒動

公開: 2010年9月28日16時35分頃

TwitterでXSSによる攻撃が行われていたようで……「Twitterブログ: 「マウスオーバーの」問題についての全容 (blog.twitter.jp)」。

日本時間の昨晩、ユーザーがこのセキュリティホールに気づき、Twitter.comにてそれを悪用しました。まず、誰かがアカウントを作成し、この問題を悪用しました。具体的には、そのツイートのリンクにユーザーがマウスオーバーすると、ツイートが異なる色に変化し、テキストを表示したポップアップ画面が表示される仕組みでした。このため、「マウスオーバーの」問題と呼ばれています。このセキュリティ上の弱点を付いた悪用は、ユーザーがリンクにマウスオーバーした時に発生しました。

これは、この辺りの話ですね。

Twiiterブログでは「昨晩、ユーザーがこのセキュリティホールに気づき」と言われていますが、ずっと前に気づいていて報告していたのにスルーされていて、しかもTwitter側によって事実上公開されていたというお話のようで。このRainbow Twitterはそれ自体は特に害のないPoCに過ぎませんが、これを見て実際に攻撃コードを作成した人がいて、ワームのように被害が広がったと。

まあ、良くも悪くも、XSSで実際に被害が出た例として語り継がれることになるでしょう。

関連する話題: Twitter / セキュリティ / クロスサイトスクリプティング脆弱性

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト