暫くの間の更新などの停止のお知らせ

Twitterのあたらしいアカウント乗っ取りの件

2月 28, 2013

[追記] このブログへのリンクを気軽にクリックしたそこのアナタ！！！！！気をつけてください！！！！！！！！！！！！！経緯 http://togetter.com/li/463503 手法ダイレクトメッセージ経由で短文＋短縮URL callback指定された認証URLをiframeで開く 2.のiframeのcallbackにはcallback.phpがあって(攻撃者のサーバ上)、アクセストークンを抜き取るウハウハ特徴パスワードを抜き取るような通常のフィッシングサイトではない、Twitterの一種の脆弱性を利用していること →twitter.comにログインした状態なら起こりえる既存の公式・サードパーティ製クライアントのコンシューマーキーを使用していること →なんで持ってるのって話旧twitter.comのcssとかjsとかそのまんま使ってる →ソースをちょっとみただけではなにが問題なのかわからないスタートは2chだそうで。 →特定が困難問題点パスワード抜きの可能性もある送信フォームあったけど記録されてるかはわからないね。トークンとられてパスワードも抜かれたのならもうウハウハだろうけど。iframeで認証ページが6つほどあったのでトークンが何個かとられててもおかしくない。というか、フォームでパスワードゲットできたのなら、アプリ連携解除されても、また手動でもアプリ連携設定できるよね。認証方法がまずくね？トークンをリクエストするときにコールバック先を指定できるなら意図しない動作を利用者にバレずに引き起こすことができる。今回のものは、認証後にそれぞれのクライアントが予定していないところへコールバックしていた。これはまずい。あれっ、でも、トークンをリクエストするときって、コンシューマーキーとコンシューマーシークレットが必要なんじゃ・・・？なんでコンシューマーキーとコンシューマーシークレットが使われてるの。ウワサによればだけど、コンシューマーキーとかは暗号化されずに保存されていたものもあるそうだ。そんなのでは容易に抜き取ることができるだろう。というか、コンシューマーキーはそもそもクライアントサイドにあるものが多いので漏れるのは無理もない

続き »