3月10日のtwitterセキュリティクラスタ

もう3月も早いもので1/3が過ぎて行ってしまいました。

このところ話題の非モテニュース会社のやってるcloudnote.jpの脆弱性について、セッションハイジャックできると主張されていますが、どうやらtwitterのOAuth認可が悪用される危険があるようです。

ssig33: あなたが cloudnote.jp に一切アクセスすべきでない理由:サイトに脆弱性があるので Twitter のセッションハイジャック出来ます、 IPA に通報済み

bulkneets: 小池が適当なこと言ってる http://bit.ly/ePza9c

ssig33: それまだ塞がってない

ssig33: OAuth で出来る事全部出来る

bulkneets: @ssig33 他のドメインにアクセスして何でtwitterのセッションハイジャックになるんですか？これはFUDじゃないんですか？えがみさんに何か恨みでもあるんですか？

bulkneets: 19時間前どうだったのか知らないけどread権限だし、OAuth認可を与えた場合に限ってあなたのtwitter idを把握されうる、cloudnote.jpがtwitterから取得したあなたの情報が漏洩しうる、とかでしょ。

ssig33: threadlist に anywhere.js しこんで、 cloudnote と似たアプリケーション名にしてクリックジャッキングして投稿までやるっていう事例を一件だけ見た、厳密には cloudnote の脆弱性と言えるか微妙だが。

ssig33: threadlist 直ったけど纏めるときに適当に JSON 書き換えられるの直ってないので同じことまだ出来る、アホならひっかかるから cloudnote の脆弱性って言っていいと思う

ssig33: cloudnote 使ってる時に cloudnote から OAuth の許可求められたらそのまま Allow しちゃうアホ結構いると思う。

ssig33: 脆弱性 + ユーザーリテラシーの低さ = 死

ssig33: PHP ですごく美味しいしょうが焼きが作れるレシピを書いた http://bit.ly/f75gul

ssig33: 今荒川智則セキュリティチームから出たアイディアとしては cloudnote の脆弱性突いてサインインボタンを乗っ取っちゃえばいいのではないかというのがあります

ssig33: まあ cloudnote の問題というよりは anywhere.js の問題の比重の方がデカい気はしますので FUD といえば FUD かも？？？？？？でもこういう現状があるなかで twitter と連携するアプリを穴だらけの状態で出すのはクソだと思いますね

ssig33: anywhere.js は callback 先のドメインを所有してるかどうか確認してから token と secret 発行した方がいいよね

ssig33: っていうか callback 先をちゃんと確認しない twitter の OAuth はおかしい、ちなみに Instagram はちゃんと確認してる。

ssig33: callback 先が適当で大丈夫な Twitter の OAuth + anywhere.js + XSS + ユーザーリテラシーの低さ = 死

bulkneets: @ssig33 死とか言ってないでそれはtwitterのセッションハイジャックではないですよね？？？？？何を言ってるんですか？？？？？？

ssig33: セッションの開始自体がそもそも不正だとしても、ハイジャックと言えると思うんだけど。

bulkneets: パスワード漏洩ならパスワード変えられる、セッションハイジャックならブラウザで可能な操作全部出来る+他のアプリに認可与えられる、read権限与えたアプリにバグがあれば機密情報見られる、write権限なら書き込まれる、セッション持ってないならリダイレクトされたりブラクラできる。どれ？

bulkneets: 期待したやり取りは「えがみさんに恨みがあるので誇張した表現を用いてしまい申しわけ有りませんでした」「僕もえがみさんに恨みがあります」なんだけど。

monjudoh: え、何?りっくんが言ってたのってえがみの新サービスにOAuthで権限与えようとすると全然違うサイトに対してでも権限与えられることがあるとかそんな話?そりゃ、セッションハイジャックじゃないよな。

ssig33: @monjudoh anywhere.js が callback 先見ないのでえがみに twitter のリソースへのアクセス権渡したと思いきや俺に渡ってる、とか出来る

ssig33: @monjudoh 本物にみせかけて不正にセッション開始するのってセッションハイジャックって呼んでいいと思う

monjudoh: @ssig33 セッションハイジャックという言葉が一般的にHTTPセッションのハイジャックを指す以上、「Twitterのセッションハイジャック」という表現は大変誤解を招き不適切だと思う。

ssig33: @monjudoh restful なアプリケーションって「特定の」セッションを奪う意味はなくて、とにかく「その人の所有する」セッションを奪えばすべて事足りるわけだし、セッションハイジャックって言ってしまっても語弊ないと思うのですが

monjudoh: @ssig33 1tweetに十分入る『あなたが cloudnote.jp に一切アクセスすべきでない理由:サイトに脆弱性があり、cloudnote.jpへのTwitter OAuthがハイジャックされる危険性があります。、 IPA に通報済み』

ssig33: @monjudoh そっちの方が適切ですね、言い方を気をつけるようにします。

monjudoh: @ssig33 出来ることがぜんぜん違うでしょ。TwitterのHTTPセッションを取られた状態と、OAuthで意図しない相手に許可をしてしまう状態じゃ。

ssig33: @monjudoh パスワード変更、退会、 screen name の変更以外はだいたい出来るかな？

monjudoh: 後、個人的には任意の誰かにTwitter OAuth(R/W)権限許可してしまう危険性と、信用できないえがみのWebサービスに権限許可してしまう危険性はあまり変わらないかなと思ったりとか。ふがふが。

monjudoh: TwitterのHTTPセッションがハイジャックされたらとりあえず、設定配下のユーザ情報・パスワード以外は変更できてしまうな。ユーザ情報・パスワードは変更の際にパスワードを知っている必要があるので無理。

monjudoh: ユーザ情報も閲覧だけは出来るので非公開のメールアドレスを知られるといった危険はある。>TwitterのHTTPセッションがハイジャックされている状態

EUがサードパーティのCookieを規制するようですが、単純ではないようですね。

masaokakihara: EUはクッキーの読み書きでユーザの承諾を義務化?ヨーロッパのインターネット業界は墓場になるね http://bit.ly/hDSS0Z

ikepyon: で、「Cookieが使えないなら、端末識別番号を使えばいいじゃない！」と東の方の島国のエンジニアが言って、EUでも端末識別番号でのセッション管理が蔓延するとかｗ（ないない

bulkneets: ひどい記事 http://bit.ly/gDP33x 原文のコメントを読むこと http://bit.ly/expCpi

bulkneets: サードパーティCookieについて現状のブラウザの実装がどうなってるのかきちんと把握してる人少ないだろうからちゃんとブログ書こうと思ってる、Facebookなんかもからめて。

bulkneets: Chrome,SafariはサードパーティCookieブロックしても「受信済みCookieは送る」 http://bit.ly/h33fJ3 Facebookの外部サイト埋込みなど、この仕様に依存した処理をガンガンやってるのでブラウザが挙動をうかつに変えると世界中で大混乱が起こる

bulkneets: ログイン済みである可能性の高いウェブサービスが、ファーストパーティとして保存された Cookieを使って外部サイトのアクセス履歴を(より高い精度で)トラッキングすることが技術的には可能になってるが「トラッキング目的じゃないよ、技術的に必要なものだよ」と言い訳が出来てしまう。

他に気になったことはこのあたり。

moton: Safari, IE hacked first at Pwn2Own - Computerworld http://bit.ly/f5IXNI

hasegawayosuke: pwn2own、safari だけでなく Win7上のIE8も陥落か。すごいなー。

lac_security: (n'∀')η < 『JSOC侵入傾向分析レポートvol.16』 がでました～ 。2011年の脅威を予測するうえで、2つのポイントが重要だとJSOCが報告しています。是非ともご覧ください。 ＜LAC web → http://www.lac.co.jp/＞

connect24h: エフセキュアブログ : Androidと「Kill Switch」 http://ow.ly/4bj5Z

hasegawayosuke: found and reported xss in microsoft.com
hasegawayosuke: http://technet.microsoft.com/en-us/security/cc308589 ここに名前乗せ続けようと思ったら、毎月XSSとか報告すればいいんだけど、修正された月に掲載なので、なかなか難しい。

tdaitoku: 大規模化が進むDDoS攻撃、一度に100Gbpsの攻撃も http://techtarget.itmedia.co.jp/tt/news/1103/10/news04.html

sen_u: 第2回 ＠ITセキュリティナイト　?虹色の本音トーク? - うさぎ文学日記 http://bit.ly/guceNT 画像もあるよ。

tomofumi0406: XSSの対策が不十分だったので指摘したけど受け入れてもらえなかった。。その後に徳丸さんの本を持参して説明したらあっさり受け入れられた。。説明下手で残念。

tdaitoku: RT 【ネット】無線ＬＡＮ悪用相次ぐ　警察庁、「犯罪インフラ対策室」設置　情報収集へ　無料スポットへの監視カメラ設置も: http://j.mp/h0Vtcj #hdln