ワサラー団公式サイト(Twitter→@wasarabit)

わさらーのブログです。ワサラー団連絡板。

twitterの脆弱性まとめ

携帯百景(ケイタイヒャッケイ)

twitterやばい!ってなってますね。

WEBで見るとJava scriptがはたらいて、勝手にRTしたりツイートしちゃったりする事件が今日起こりましたね。

こんな発言がされてました。

「【Twitter】変なCSS入りの発言で画面をおかしくする人がなんかあちこちからわいてくる。コード見るとスクリプトはいってるし。怖いからモバイル版のページを使う。もちろんフォローはずしておいた。」

こうなったりもするみたいです。

http://twitpic.com/2qkrbg   http://twitpic.com/2qky8z

こんなページも。レインボーー

これは、なんかまぁそういうコードが入力されたツイートにマウスをあてると、勝手にプログラム発動してしまってその地雷ツイートをRTしまくっちゃって爆発的に広がってしまうようなものだったのです。

サマーウォーズのようですね。ラブマシーンがtwitterで暴れておりました。

まさにこんな感じ

こんなpostもw

【速報】騒ぎの犯人とみられるアカウントの画像 http://twitpic.com/2ql12r

【急募】アカウントを賭けて花札をしている女の子の持ちアカウントが足りません。 自分のアカウントを差し出してもいいという人はいませんか?

そのため、今WEBにログインすることは危険です。 ログアウトには http://twitter.com/logout のURLを使いましょう。

※誤情報が氾濫していますが、脆弱性は「きょじゃくせい」でも「きじゃくせい」でもなく、「ぜいじゃくせい」と読みます。

これが今日僕が知った重要なことです。脆弱性の読み方。終わり。

XSSがどうのってツイートもよく見られました。これはなんなのか?

XSS 【Cross Site Scripting】(クロスサイトスクリプティング

ソフトウェアのセキュリティホールの一つで、

Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、

悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。

悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、

プログラム側に適切なチェック機構がないと、

そのスクリプト内容がそのままHTMLに埋め込まれ、

ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。

http://e-words.jp/w/XSS.html より。

らしいです。

確かに、まんま今回の事件ですね。

だんだんそのコードが入力されたpostをする人が少なくなっていくので、すぐ収まるかとは思いますが、

こんなこともあるんだな~と、いい経験をしたつもりになっておきます。