特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter でDMが送信されていた 何やら Twitter で勝手にDMが送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 ﹁ちょっとこれみてくれない﹂とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) ︻拡散希望︼twitterの新型ウイルスがヤバい URL踏んだ
今月の呼びかけ:IPA 独立行政法人 情報処理推進機構
Facebookから開発者へ: OAuthとHTTPSを利用せよ | ブログヘラルド
589lab.net is Expired or Suspended.
