もれ? ― 2009/08/28 06:01
Twitterに深刻な脆弱性? つぶやきを見ただけでアカウント乗っ取りの恐れ - ITmedia News
つまり「アプリケーション名」を表示する部分をエスケープし忘れたってことかな?
項目とか追加すると対策漏れとかありがちだよねぇ。
えっとアレだお約束。
話はぜんぜん違うけど、Microsoft Security Essentials Betaの日本語版があるみたいなんですけど、どこからダウンロードできるのだろう……直リンは某掲示板にあるからダウンロードはできるけどさ。
例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、この場合は使われたアプリケーション名がつぶやきの下に表示される。
しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、例えばHTMLコードやJavaScriptのscriptタグでさえも表示させることができてしまうという。これを悪用すれば、ユーザーを別のページに誘導したり、ユーザーのアカウント情報を変更させたり、フォロワーを削除するといったことができてしまうとブログ筆者は解説する。
つまり「アプリケーション名」を表示する部分をエスケープし忘れたってことかな?
項目とか追加すると対策漏れとかありがちだよねぇ。
えっとアレだお約束。
/:.:.:.:.:/:/:.:.:.:.:./:.:.:. / ''' ヽ ヽ ヽ、 /:.:.:.:.:/:/:.:.:./:.:.:.:. , 、 ヽ \ ヽ l:.:.:.:.:.:l:.l:.:./:.:.:.:.:. / :.:.:.:/ .l:.:.:.:.:.: ヽ:. ヽ:.: ヽ ヽ l:.:.:.:.:.l:.:l:/:.:.:.:.:.:.:. :.ノ :.:.:./:. ,:./|:.:l:.:.:.:. . ヽ:.: i:.:.:. ヽ. ヽ l:.:.:.:.:.l:.ノ:.:.:.:.:.:.:.:.: /ヘ:.:.:./:.:.イ/:.l:.:.l:.:.:.:. :.: l:.:.:. l :.:.:.: ヽ:. ヽ |:.:.:.:.:k:.:.:.:.:.:.:.:.:.:. 〃|,,,,ヽ,,ノ/:.:.ノ:/l:.:.:.:.:.:.:. ノ l:.:. lノ:.:.:.: : l:.:. ) l:.:.:.:.lヽ:.:.:.:.:.:.:.:.:. 〃/''/:::::::::l`ヽ_-_l:.:.:.:.:.:. /:l:.l:.l:.´l:.:.:.:.:.:.:.: l:.:.: / l:.:.:.:.|:./,、:.:.:.:.:.:._ノ;;; l ' l::::::ヽノ,ヽノ:.:.:.:.//:::::ノヽヽ/:.:.:.:.:.:.:. ノ :.:. / l :.:.:.|:l l ヽ、:.:.:.:.l`l ii ヽノ. ii /:.,- ´ l ´:::ヽ_l l:__:.:.:.:.:.: ,〃:.:.:/ l :.:.l:.ヽヽ ヽ - _l , __ヾ_ -- ´ '´ l `~ ) '/:.:.:.:, -´/:./ l :.:.l:.:ll:.:ヽ_ヽ:.:. `(_ `) `~` -' / - ´ /-´ /l :.:.l:.ll:.:.l:[]:.ヽ:.. `  ̄´-‐‐- _ (  ̄`ヽ l / l :.:l:.ll:.l:.:():.:.:.)-、 / ` - _ ` -- / サニタイズって言うなー! / :.l :.:l:ll:/:.:'-'-l':.:.:.:ll`: ! _ `) _ -ヽ ./ :.:.l :.:l:ll:.:_ -! l:.:.:.:.:l ヽ:.:.:.:` -___ ___ ノ-イ´i l ll / .:.:.l :.:l- ´ | l _ヽ _ll___〃イ ヽ--- _ll: l ./ // l l ` ‐  ̄ ~/ ヽ ヽ ` - _AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
話はぜんぜん違うけど、Microsoft Security Essentials Betaの日本語版があるみたいなんですけど、どこからダウンロードできるのだろう……直リンは某掲示板にあるからダウンロードはできるけどさ。
最近のコメント