Archive for the ‘Security’ Category

まさか再びお目にかかれるとは

早速ですがAmebaなう始めてみました。

そして早速ですが、祭り発生。
CSRFです。
「こんにちはこんにちは!!」が大量に自動投稿されてます(笑)
というか半分以上は確信犯ですね(笑)

そんなわけで投稿フォームのあたりのソースを見てみました。

<form id="inputForm" autocomplete="off" name="inputForm" method="post" action="http://ucsnow.ameba.jp/post">
<textarea id="entryTextArea" name="entryText" tabindex="1" cols="30" rows="3"></textarea>
<div id="inputBtnArea"><input id="inputBtn" type="submit" tabindex="2" value="投稿" name="inputBtn" /></div>
<div id="entryHelp"><div id="newEntryHelpArea"><em>最新のなう:</em>というか・・・はまちちゃんBANされちゃったのかw やることが斜め上すぎるサイバーエージェント<span class="time">[7分前]</span></div></div>

<input type="hidden" name="struts.token.name" value="struts.token" />
<input type="hidden" name="struts.token" value="TWSJ8HW3PWZAFESBUAR982HS5X9UJQS" /></form>

なんということでしょう!
tokenがただの飾りです!

20時15分追記。
ようやく対応されたようです。
しかし、運営の対応の最悪っぷりには・・・。
アメーバなうスタッフさんの投稿したなう | Amebaなう(アメーバなう)

現在「こんにちは こんにちは!!」と自分の発言ではないのに投稿されてしまうスパムが発生しております。「こんにちは こんにちは!!」の後のURLをクリックしないよう注意していただくと共に、発言をしてしまったら削除していただけますよう、よろしくお願いいたします。

「こんにちは!」を投稿してしまった方は、「hamachiya2(はまちや2)」が「フォローしている人」の中に登録されているので、こちらの「フォローをやめる」をお願いいたします。 ご迷惑をおかけいたしまして、申し訳ございません。

翌朝07:40追記。
【緊急】アメーバなう利用中の皆さんへ【ご注意!】|ぼくはまちちゃん!(アメーバ)
今回の件に関する「注意事項」です!!こんにちはこんにちは!!