雑記帳

ちょっとした文章とかメモ書きとか。

昨日のツイッターの祭について。

昨日の夜8時~12時にかけて、ツイッターにXSS攻撃という脆弱性を利用した攻撃が仕掛けられました。
現在は収束しており、Web上からアクセスしても問題ありません。

今回のXSSにはツイッターにJavascriptを貼る方法が発見された(※現在は貼れない)ため、起こったものです。
例えば、呟きの後に
#@"Onmouseleave="alert(‘てすてす’)"

とすると、Javascriptが貼れてしまう脆弱性でした。

始めはこのようなものであったり、CSSスタイルを利用したその呟きの背景を変更するものであったのですが、
次第に、99999px~のようなフォントサイズ変更のものや、背景をカラフルにするものや、果ては、

  

と言うものまで出たらしい・・。です。
いずれもJavascriptのOnmouseoverというものからなっていたようで、
悪意を持ったJavascriptを含むリンク付きの呟きにマウスポインタを合わせてしまうと、
強制的に呟いてしまうスクリプト($が含まれていたものはPerl?)が組み込まれており、
それを実行させられてしまったようです・・。

この件でウィルスだとか感染したなどと言うデマが流れたようですが、
そうではなくJavascriptが実行されたものなので、
Javascriptが実行できない環境を用意して、それでツイッターにアクセスすれば良かったのです。

web版ツイッターを利用するにはこの時はJavascriptを無効化すればよかったのでした。
また、ツイッタークライアント、例えば
デスクトップクライアントでは:
・Echofon
・Tween
・YoruFukurou
・HootSuite
・TweetDeck
・Saezuri
等から
ウェブクライアントでは:
・モバツイ
・ついっぷる
・jigtwi
等からアクセスすればJavascriptが実行できない環境を用意でき、
尚且つツイッターも出来るということでした。
※ただし、Onmouseoverなどのリンクの入った呟きをブラウザで開いてしまうとアウトでした。

今回の件で終わるのではなく、
信頼できないサイトではJavascriptを無効にするという対策も必要であると思います。
今回は強制的に呟きをさせられるだけでしたが、
Javascriptでは
ブラウザのブックマークを消去とかも出来たりするので注意・・・ですね。

・XSSと言うのは私も知らなかったのですがCross Site Scriptingの略で
サイトの動的に表示させることのできる機能を利用し、
サイト間にまたがって悪意のあるスクリプトを実行や、混入をすること・・だそうです。

なので、例えばJavascriptコードを貼れる脆弱性が発見されると、そのサイトがXSS攻撃の踏み台にされてしまうわけです。
なので前述のツイッターにJavascritpコードを貼れる脆弱性は早急に修正される必要がありました。
web関係の脆弱性は多くの人に迷惑が掛かるので怖いですな・・

ではノシ

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。