TwitCasting用の画像素材 リンクを取得 Facebook Twitter Pinterest メール 他のアプリ 4月 03, 2012 適当につくりました。 TwitCastingのライブなどで使用して下さい。 二次配布しなければ基本的にどなたでも使用して構いません。 TwitCasting radio (クリックして拡大) ドラッグドロップでコピーして下さい。 リンクを取得 Facebook Twitter Pinterest メール 他のアプリ コメント シャル2012年12月18日 22:42お借りします!返信削除返信返信コメントを追加もっと読み込む... コメントを投稿
Twitterのあたらしいアカウント乗っ取りの件 2月 28, 2013 [追記] このブログへのリンクを気軽にクリックしたそこのアナタ!!!!! 気をつけてください!!!!!!!!!!!!! 経緯 http://togetter.com/li/463503 手法 ダイレクトメッセージ経由で短文+短縮URL callback指定された認証URLをiframeで開く 2.のiframeのcallbackにはcallback.phpがあって(攻撃者のサーバ上)、アクセストークンを抜き取る ウハウハ 特徴 パスワードを抜き取るような通常のフィッシングサイトではない、Twitterの一種の脆弱性を利用していること →twitter.comにログインした状態なら起こりえる 既存の公式・サードパーティ製クライアントのコンシューマーキーを使用していること →なんで持ってるのって話 旧twitter.comのcssとかjsとかそのまんま使ってる →ソースをちょっとみただけではなにが問題なのかわからない スタートは2chだそうで。 →特定が困難 問題点 パスワード抜きの可能性もある 送信フォームあったけど記録されてるかはわからないね。トークンとられてパスワードも抜かれたのならもうウハウハだろうけど。iframeで認証ページが6つほどあったのでトークンが何個かとられててもおかしくない。というか、フォームでパスワードゲットできたのなら、アプリ連携解除されても、また手動でもアプリ連携設定できるよね。 認証方法がまずくね? トークンをリクエストするときにコールバック先を指定できるなら意図しない動作を利用者にバレずに引き起こすことができる。今回のものは、認証後にそれぞれのクライアントが予定していないところへコールバックしていた。これはまずい。 あれっ、でも、トークンをリクエストするときって、コンシューマーキーとコンシューマーシークレットが必要なんじゃ・・・? なんでコンシューマーキーとコンシューマーシークレットが使われてるの。 ウワサによればだけど、コンシューマーキーとかは暗号化されずに保存されていたものもあるそうだ。そんなのでは容易に抜き取ることができるだろう。というか、コンシューマーキーはそもそもクライアントサイドにあるものが多いので漏れるのは無理もない 続き »
お借りします!
返信削除