火曜日, 9月 07, 2010

ツイッターXSS/CSS新しいセキュリティ問題が発見


昨日のセキュリティアラートで、ツイッターXSS/CSS新しいセキュリティ問題が発見されました。これに当たって2件セキュリティ問題が出ます、(1)ツイッターユーザのセッションをハイジャックされる可能性が高い、(2)ツイッターのPOST(送信)システムにクロススクリプトセキュリティ問題(XSS/CSS)があります。
ようは上記の(2)の方法を使うと(1)の行動が出来ると。

根本的な問題は「dev.twitter.com」の検索エンジンのデサインエラーです。
本件のエラーが実は今年の7月29日からツイッターにレポートされましたが、ツイッターからレスポンスが無かった状況です。
詰り下記のコードを使うと問題の再現が出来ます↓
http://dev.twitter.com/search?query=%253C/script%253E%253Ciframe%20src="http://www.xssed.com"%253E%253C/iframe%253E [XSS Mirror]

上記のscriptを実行したら下記の行動結果ポップアップが出ます…

…という事はXSSの問題証明となります。同じ方法他のツイッターユーザセッションをハイジャック/ハッキングする事が出来ます。もっと言いますと、本件のバグ情報を使うとツイッターユーザがマルウェアサイトへ飛ばされる可能性が出ます。
再現コードはこちらへアクセスが出来ます。

本件のバグ前に今年の夏で他のツイッターXSS/CSSバグも後3件があり、全て対応済みです。その3件のバグは下記となります↓
「support.twitter.com」 XSS セキュリティ問題、credit: d3v1l
「twitter.com」 XSSセキュリティ問題、credit: 0wn3d_5ys
twitter.com」 XSSセキュリティ問題、credit: Billy (BK) Rios...

追加情報、本問題の対応について今のブログが書いた時に対応最中と見えてます。
---
http://0day.jp
ゼロデイ・セキュリティリサーチチーム

0 件のコメント:

コメントを投稿