注目を集めるソーシャルネットワーキング・マイクロブログサービスであるTwitterは,ワーム攻撃を阻止するため,クロスサイトスクリプティングやその他の脆弱性の修正に大急ぎで取り組んでいるが,研究者のAviv Raff氏が指摘するように,Twitterを攻撃するワームを送るためにTwitter APIが「弱いリンク」として悪用される可能性が高い。
結局Twitter本体がセキュリティ対策をしてもAPIを使って投稿する別のサービス側のセキュリティが弱いと、そっち側が乗っ取られ、そっち側経由でTwitterに入り込んであれこれできちゃう、って話なんでしょうかね。
Raff氏はデモ用の攻撃を作成し,同氏が作成したtwitpic.comのユーザー(twitpicxss)のプロフィールを別のユーザーが閲覧すると,自動的にTwitpic.comの無作為の写真にコメントが付けられてしまうようにした。
Twitpicサービスにログインしている間にこのプロフィールページを閲覧すると,Raff氏がコメント中に設定した内容が自動的にtweetとしてTwitterに送られる。
この内容には,ユーザーtwitpicxssのプロフィールへのリンクが含まれており,これを利用して他のユーザーに対してそのリンクをクリックさせ,ワームを広げ続けることも可能だった。
いろいろ面倒なんですねえ。
これって最終的にAPI経由で受け取るデータをサニタイズしてやればいい、って話じゃないんですね。すみません、理解していません。
カテゴリ
インターネットコメント
COTOBACO
このブログ記事について
BlogPeople PEOPLE
【Atom Netbook/MID】【ガジェット!ガジェット!ガジェット!】
【あなたのライフハック大募集! 】
トラックバック・ピープル
[BlogPeopleピープル]
[iTMSピープル]
[iTMSピープル]
お誕生日おめでとう
Yahooで取り上げられた記事
ブログ内検索
BlogPeople ReviewMe!
このサイトのレビューとか応援コメントを書いてもらえると励みになります。
Affi☆List for Amazon
昨日のアクセストップ5
