こっちで書いてます

http://masatokinugawa.l0.cm/

Twitterの脆弱性3連発

最近僕が発見し、修正されたTwitterの脆弱性を3つ紹介します。 1.旧Twitterの文字列処理に絡んだXSS 去年の夏くらいに、Twitter Web上で € 〜 ÿ の文字参照が含まれるツイートをXMLHttpRequestで読み込んだ際に表示が乱れるという問題に気付き*1、…

Google's Vulnerability Reward Program

Googleは2010年11月からGoogleのウェブアプリケーションのセキュリティ脆弱性を報告した人に報酬を支払う制度をスタートしました。僕も早速いくつか報告し、以前TwitterでGoogleから$7337頂いたよとつぶやきましたが、あれから新たに$6337の入金があり、今の…

formタグを利用したtoken奪取

スクリプトの実行はできない(XSS対策されている)し、tokenは導入されている(CSRF対策されている)のに、tokenを奪取され、不本意な操作をされてしまう例というのを1つ、やってみたいと思います! 実証だニャン! http://d.hatena.ne.jp/kinugawamasanyan/…

TwitterからTシャツを頂いた

id:hasegawayosukeさんに引き続き、ぼくも貰いました!!!!ヤッター!!!! おまえこの前のRinbowTwtr(https://twitter.com/kinugawamasato/status/25098556840)で貰ったんかい!って誤解されないように 今までTwitterにコソコソ報告してきたセキュリティ…