- Posted by MorphineG
- 2010-09-22
- Interest(関心)
Tagged with Javascript Twitter
テキトーにまとめると、javascript でのマウスオーヴァーバグを利用したイタズラ(ハッキング)。とくに普段からも、WebからTweetして人のリンクばっかり踏みまくってる人たちは、多分ハマっちゃったと思われます。
KellyはPC アウトしてる時間が長かったため、かなりズレまくりで異変に気がつきましたが あはっ
だけどさ、クロスサイトも怖いけど クロス円のがもっと怖いっつーの!

これを一般的にCross site scripting. 略でXSSと呼びます。
ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。
これについて、はじめて聞くよーそんなの っていう人たちはとりあえず覚えようね。
最近は日本でもTwitter人口増えてますね。今回はTwitterがそのままクロスサイト状態になってしまったという割とシリアスなケースでもあるのでここに書きます。ユーザーアカウント情報
がもれたり勝手に改ざんしたりとかの悪用はされなかったと、Twiiterからの報告を読んだので安心しました。
ちなみにモバイル、サードパーティを利用している人たちは全く被害なし。Kellyもそうです。
また同じようなことが起こる可能性もあるので、ヘビーユーザーは、念のため専用クライアントは1つくらいは入れておいた方がいいと思います。
バグ修正パッチのアップデートはすでに完了してるから、もう大丈夫と思いますが 念のため、奥さんたち 勝手に不正でRTされたへんなスクリプトは早く消してくらはい。OK ?
Q:クロスサイトって何ですかー?
A:悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。
このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。
悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、"Cross Site" の名がついている。
スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。
対策としては、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要である。
Original source here http://e-words.jp/w/XSS.html
KellyはPC アウトしてる時間が長かったため、かなりズレまくりで異変に気がつきましたが あはっ
だけどさ、クロスサイトも怖いけど クロス円のがもっと怖いっつーの!

これを一般的にCross site scripting. 略でXSSと呼びます。
ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。
これについて、はじめて聞くよーそんなの っていう人たちはとりあえず覚えようね。
最近は日本でもTwitter人口増えてますね。今回はTwitterがそのままクロスサイト状態になってしまったという割とシリアスなケースでもあるのでここに書きます。ユーザーアカウント情報
がもれたり勝手に改ざんしたりとかの悪用はされなかったと、Twiiterからの報告を読んだので安心しました。
ちなみにモバイル、サードパーティを利用している人たちは全く被害なし。Kellyもそうです。
また同じようなことが起こる可能性もあるので、ヘビーユーザーは、念のため専用クライアントは1つくらいは入れておいた方がいいと思います。
バグ修正パッチのアップデートはすでに完了してるから、もう大丈夫と思いますが 念のため、奥さんたち 勝手に不正でRTされたへんなスクリプトは早く消してくらはい。OK ?
Q:クロスサイトって何ですかー?
A:悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。
このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。
悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、"Cross Site" の名がついている。
スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。
対策としては、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要である。
Original source here http://e-words.jp/w/XSS.html
![]() ![]() | 最近ランキングが転落。更新のモチベーション落ちてます。1日1回のポチッとにご協力下さい。応援してくらはいませ |
- 関連記事
-
- Twitter がハックされた!Twitter Hacked (2010/09/22)
- My Baby Boy (2010/09/27)
- 重力に負けないぞ!(セクシーショットも見てね (2011/08/28)
- Home Exchange で新しい恋!? (2009/09/07)
- eclipse of the sun (2009/07/22)
- アメブロはインスタントラーメンだ! (2010/02/16)
- 不正のやつらが消されてる? (2009/11/24)
- お馬さんで負けました。。。 (2011/07/25)
- Marine day (2009/07/20)
- Tweetboard リンク完了のお知らせ (2009/11/22)
- 謹賀新年 (2010/01/02)
- Happy V-day Everyone ! (2010/02/14)
- 女の価値について真剣に考えてみた (2010/08/11)
- わたしのご先祖様 (2009/08/10)
- 巨大うさぎと一緒にあけおめ~っ! (2011/01/02)
- Newer: ユーロドルで負けました!(CSS3おっぱいアニメ含)
- Older: ポンドの5000通貨トレードは余裕