【脆弱性】Janetterにぶっ刺さる超初歩的なXSSが話題に。脆弱!脆弱ゥ!【Twitter】
Janetterの脆弱性
“2ちゃんねる”専用ブラウザー「Jane Style」の開発元として知られる(株)ジェーンによって公開されているTwitterクライアントである「Janetter」に脆弱性が発見され話題になっている。
事の発端はとあるTwitterユーザーが投稿した以下のツイートだ。
@terry_u16 2017-04-28
湯婆婆「契約書だよ。そこに名前を書きな。働かせてやる。」
千尋> <script type=”text/javascript”>for(;;){alert(“んほぉぉ!イッぐぅぅ!!”);}</script>
湯婆婆「フン。んほぉぉ!イッぐぅぅ!!んほぉぉ!イッぐぅぅ!!んほ
一見すると良く分からない文字列が並んだツイートだが、実はこれはXSS(クロスサイトスクリプティング)というものだ。XSSとは、ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことをいう。
そして、Janetterにはこの脆弱性があったらしく、Janetterを利用してこのツイートを読み込んでしまったユーザーの画面には、「んほぉぉ!イッぐぅぅ!!」というダイアログが無限に出続ける事態となってしまったのだ。
実際に実行すると以下の動画のような動作を起こす。
JanetterなるTwitterクライアント pic.twitter.com/Sgh7s1LVOA
— ばんくし (@vaaaaanquish) 2017年4月29日
この問題となったツイートを投稿したTERRYさんは
なんかどうも僕のクソネタツイートの超絶初歩的なクソXSSがJanetterにぶっ刺さって「んほぉぉ!イッぐぅぅ!!」って無限にダイアログが出ているらしくこういうときどんな顔したらいいのかわからない
と語っている。
また、Janetterユーザに対して以下のように警告している。
というかこの脆弱性が本当なら割とマジでヤバいのでもし万が一Janetterを使ってる方がいらっしゃいましたら対応されるまでご利用をお控え頂きますと幸いです
Jane Styleも脆弱性ありそうやな
がばがばかよ
逆によく今まで見つからなかったな
更新してないだけではって思ったらまじだった。
ふつーに最新版でも起きたしクソ
XSSは知らんが、超初歩的らしいし、相当やばいんでしょこれ
はいはいアンストアンスト
久々に聞いたわこの名前
※このコメントは削除されました