このブログは更新を終了しました。記載の内容は情報が古くなっている可能性がありますのでご注意ください。
新しいブログは写真専用のブログになりました。ご興味のある方はぜひ以下のアドレスから御覧ください。
https://kei.photo/

TwitterのXSS

4 件のコメント

ここ数時間でTwitterでXSS攻撃が流行しているようです。

内容としてはつぶやきのなかにリンクをいれてそこにJavascriptやCSSでいたずらできるというものです。

つぶやきを虹色にするというツールからひろまったようですが、そこからマウスカーソルをのせただけでそのつぶやきをRTしてしまうなど、どんどん亜種がでてきています。

悪質なものではTwitterの中のクッキーを外部へ送信するものもあります。
これはすなわちアカウントハックが可能であることを意味しています。

どういう仕組みかというと、Twitterにログインしている状態を維持するためにクッキーを使います。(食べ物のクッキーじゃないので気になる方はCookieで検索を)
このクッキーを使ってログイン状態を維持するものをセッションというのですが、セッションハイジャックといいCookieを奪いTwitterにそのセッション情報を提示することで成り済ますことができます。

Twitterをブラウザから直接アクセスして使っている方はすぐにログアウトしてください。
ログアウトすることでそのセッションは無効になり、たとえハイジャックされていてもアカウントにアクセスすることができなくなります。
次にログインするときにはまた別のあたらしいセッションが発行されます。

また、セッションハイジャックをされた場合、Twitter上で外部アプリを認証されてしまうと、ログアウトしてセッションを無効にしてもそこから制限はありますがアカウントを操作することができます。

心当たりがあるかたはTwitterで認証しているアプリケーションを確認してみましょう。

詳しい仕組みについてもそのうち時間があれば解説しようかとおもいますが、現時点でセキュリティホールが塞がれているかわからないのであまり深いことは今はかかないでおきます。

4 件のコメント