Twitterのあたらしいアカウント乗っ取りの件
[追記] このブログへのリンクを気軽にクリックしたそこのアナタ!!!!!
気をつけてください!!!!!!!!!!!!!
経緯http://togetter.com/li/463503
手法ダイレクトメッセージ経由で短文+短縮URLcallback指定された認証URLをiframeで開く2.のiframeのcallbackにはcallback.phpがあって(攻撃者のサーバ上)、アクセストークンを抜き取るウハウハ 特徴 パスワードを抜き取るような通常のフィッシングサイトではない、Twitterの一種の脆弱性を利用していること→twitter.comにログインした状態なら起こりえる既存の公式・サードパーティ製クライアントのコンシューマーキーを使用していること→なんで持ってるのって話旧twitter.comのcssとかjsとかそのまんま使ってる→ソースをちょっとみただけではなにが問題なのかわからないスタートは2chだそうで。→特定が困難 問題点パスワード抜きの可能性もある
送信フォームあったけど記録されてるかはわからないね。トークンとられてパスワードも抜かれたのならもうウハウハだろうけど。iframeで認証ページが6つほどあったのでトークンが何個かとられててもおかしくない。というか、フォームでパスワードゲットできたのなら、アプリ連携解除されても、また手動でもアプリ連携設定できるよね。
認証方法がまずくね? トークンをリクエストするときにコールバック先を指定できるなら意図しない動作を利用者にバレずに引き起こすことができる。今回のものは、認証後にそれぞれのクライアントが予定していないところへコールバックしていた。これはまずい。
あれっ、でも、トークンをリクエストするときって、コンシューマーキーとコンシューマーシークレットが必要なんじゃ・・・?
なんでコンシューマーキーとコンシューマーシークレットが使われてるの。
ウワサによればだけど、コンシューマーキーとかは暗号化されずに保存されていたものもあるそうだ。そんなのでは容易に抜き取ることができるだろう。というか、コンシューマーキーはそもそもクライアントサイドにあるものが多いので漏れるのは無理もないかもしれない。
[追記] そもそもコールバックはブラウザ用で使われるもの、モバイル端末の認証を容易にするものではない、という見方もできるかもしれない…
気をつけてください!!!!!!!!!!!!!
経緯http://togetter.com/li/463503
手法ダイレクトメッセージ経由で短文+短縮URLcallback指定された認証URLをiframeで開く2.のiframeのcallbackにはcallback.phpがあって(攻撃者のサーバ上)、アクセストークンを抜き取るウハウハ 特徴 パスワードを抜き取るような通常のフィッシングサイトではない、Twitterの一種の脆弱性を利用していること→twitter.comにログインした状態なら起こりえる既存の公式・サードパーティ製クライアントのコンシューマーキーを使用していること→なんで持ってるのって話旧twitter.comのcssとかjsとかそのまんま使ってる→ソースをちょっとみただけではなにが問題なのかわからないスタートは2chだそうで。→特定が困難 問題点パスワード抜きの可能性もある
送信フォームあったけど記録されてるかはわからないね。トークンとられてパスワードも抜かれたのならもうウハウハだろうけど。iframeで認証ページが6つほどあったのでトークンが何個かとられててもおかしくない。というか、フォームでパスワードゲットできたのなら、アプリ連携解除されても、また手動でもアプリ連携設定できるよね。
認証方法がまずくね? トークンをリクエストするときにコールバック先を指定できるなら意図しない動作を利用者にバレずに引き起こすことができる。今回のものは、認証後にそれぞれのクライアントが予定していないところへコールバックしていた。これはまずい。
あれっ、でも、トークンをリクエストするときって、コンシューマーキーとコンシューマーシークレットが必要なんじゃ・・・?
なんでコンシューマーキーとコンシューマーシークレットが使われてるの。
ウワサによればだけど、コンシューマーキーとかは暗号化されずに保存されていたものもあるそうだ。そんなのでは容易に抜き取ることができるだろう。というか、コンシューマーキーはそもそもクライアントサイドにあるものが多いので漏れるのは無理もないかもしれない。
[追記] そもそもコールバックはブラウザ用で使われるもの、モバイル端末の認証を容易にするものではない、という見方もできるかもしれない…