• はてなブックマーク
  • テクノロジー
  • 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説
  • Twitterでシェア
  • Facebookでシェア

「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説

テクノロジー カテゴリーの変更を依頼 記事元:posfie.com
適切な情報に変更
202users がブックマーク コメント 59
    共有

    • 記事へのコメント59

    • 注目コメント
    • 新着コメント
    その他
    te2u
    DMリンクに限った話ではない気がするのだけど。

    その他
    Lhankor_Mhy
    え、どういうこと、誰か解説プリーズ。認証ボタンは誰が押してるの?iframe内のDOM操作ってクロスドメインは禁止されてたよね?/コメント読んだ。連携済みだと認証ダイアログなしでOAuthトークン発行するのか。マジかよ。

    その他
    azumi_s
    うわ、タチ悪いなぁ、これ。そのうえ相当に面倒くさい。とりあえずはDMで短縮URLとか送られてきてもパッと開いたらアカンくらいしか一般的な自衛策は無さげな。

    その他
    kirifue
    知らない人からのDMリンクなんて開けなかったけど、知ってる人からのDMも確かめた方がよくねって話。 #twitterjp #セキュリティ

    その他
    khtokage
    やるなぁ。「ブラウザ上でTwitterにログインした状態だとOAuthを乗っ取られる」と言っても過言でないレベルだ。個人での対策としてはブラウザでのTwitterは常に/小まめにログオフぐらいか。

    その他
    torin
    手口を読んで思わず感心してしまった。シンプルだけど厄介

    その他
    yudai214
    http://b.hatena.ne.jp/entry/blog.ksswre.net/2013/02/twitter.html

    その他
    s-tomo
    クライアントアプリのバイナリからconsumer keyとsecretを抜き出し、callbackを横取りすればアプリの権限でアクセスできる...か.....

    その他
    wisboot
    やってることだけ見ると明らかに脆弱性を突いた攻撃だけど、これどうやって防ぐんだ…?

    その他
    psypub
    .@k5342 さんの「「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説」をお気に入りにしました。

    その他
    a-ki_room
    一昨日あたらい話題になっていたのはこれか。 | 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter

    その他
    diveintounlimit
    理屈がわかって何より。やはりURLを踏むとNGなのか。私が見たサイトは閉鎖されてしまっててサイトの分析が出来なかった。

    その他
    terazzo
    SettingsのCallback URL欄って何入れてても通るんだっけ。

    その他
    honeybe
    ほー。皆様お疲れ様です。

    その他
    gabuchan
    今流行りのTwitter DMフィッシングの手口が解析されるまでの流れ。セキュリティ系の人すごいわー。かっこいい。

    その他
    ysakmrkm
    フィッシング? - Togetter

    その他
    rti7743
    もう少し詳しい解説がほしいな

    その他
    mitaro
    …なんか、かっこいい。

    その他
    tukanana
    twitterの短縮URLは安易に踏まないこと…。

    その他
    Luigitefu
    うわっ

    その他
    browneyes
    なんかこれまでより巧妙悪質&日本語なフィッシングDMが出回りはじめてるっぽいのね。 ▶ フィッシング? - Togetter

    その他
    miquniqu
    ブラウザでログインしないのが正解のような。(公式否定)

    その他
    yoiIT
    よく考えるもんだ >何がまずいって、iframe経由でも認証が成功できること。

    その他
    kw5
    こんな手口があるとは予想外だった……

    その他
    Haaaa_N
    今すぐTwitterからログアウトしろ

    その他
    hugta
    内容が専門的すぎるけど、要はこれヤバいってことよね?パスは抜かれないけど、URLにアクセスしただけで、認証アプリの痕跡もなくDMスパムできると…… / フィッシング?

    その他
    khtokage
    khtokage やるなぁ。「ブラウザ上でTwitterにログインした状態だとOAuthを乗っ取られる」と言っても過言でないレベルだ。個人での対策としてはブラウザでのTwitterは常に/小まめにログオフぐらいか。

    2013/02/28 リンク

    その他
    ysk_lucky-star
    これはどう対策を講じればいいんだ?

    その他
    houyhnhm
    すげーなー、OAuth周りでナカナカやるなあ。

    その他
    actywave
    Twitterユーザーは読んでおいた方が良いと思うw

    その他
    b0101
    ネタ

    その他
    felt87
    フィッシング? - Togetter

    その他
    isidai
    OAuth は本来、callback urlが設定されている時に厳格にチェックする必要あるけどTwitterのOAuthはcallback urlのチェックが不完全なんだな。

    その他
    stealthinu
    「ちょっとこれみてくれよ」スパムによるアカハック手法。ブ米読んでやっとこ全部理解。iframeでcallback先を攻撃者URLに指定してOAuth出すと認証済みならダイアログなしでトークンもらえる。だから見ただけで取られる。

    その他
    itochan
    とりあえずiframe禁止しとくか…

    その他
    todesking
    ナルホディウス

    その他
    masabossa
    Twitter側がoauth/request_tokenで受け付けたoauth_callbackのURLをService Providerが意図したURLであることをチェックしていないということだよね?であればTwitter社が対処すべき問題。

    その他
    mizukemuri
    DMだけなのコレ?▼はてな経由でTwitterにURL送りまくってる自分としては何とも言えない微妙な気持ちに

    その他
    wonodas
    コールバックURLが元のところに戻るのとそうじゃないのといろいろあるなとはおもってたが、あれか、開発者が自分で設定できるように自由度を残してたからなのか。それつかれちゃったらなー

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説

    あの、ちょっと厄介なことがありまして。 いつもどおりのフィッシングサイトだと思ってたんですよ。 ......

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.