昨日書いた「まちちゃん!」トラップがバージョンアップ(ver 3.0)したもよお。以前のは日記を書き込むためのCGIへの引数付きのリンクがそのまま貼ってあったんだけど、今回はサイトを経由させるようになってて手が凝っているもよお。mixiの対策としてはリファラとかチェックするのかなあ。詳細は以下など参照。
http://d.hatena.ne.jp/kowagari/20050419/1113897459
http://d.hatena.ne.jp/mixi_love/20050419/p1
なお“CSRF”というのはキーワードによると(つかこのキーワードも全部引用だけど)
"Cross-Site Request Forgeries" の略で、要するに「編集」「削除」などのコマンドを実行するような URL を踏ませる攻撃です。
さて、以下が問題の日記。
http://mixi.jp/view_diary.pl?id=14656767&owner_id=259617
mixi入ってないひとのために解説すると、「【発見】 mixiの裏技」なんていう2ちゃんねる風の見出しで「オイオイ、すげぇぜ…」って煽りでURLが一個貼ってある。当然URLエンコードされているのが、ウェブ検索で見つかった適当なデコーダーで展開するとこんな風になる。
http://www.google.com/url?sa=D&q=http://www.geocities.jp/hamachiya_xxx/h.htm
一見Googleだけど、これはただのリダイレクター(Googleにそんな機能あるんだ?)なので、けっきょくは“q=”以降のURLに飛ばされる。
http://www.geocities.jp/hamachiya_xxx/h.htm
このHTMLにはこういうフォームがあって、これをJavaScriptで自動クリックさせてるという仕組みのもよお。JavaScriptのことはよくわかんないのでのそっちは詳しいひとにまかせます。
<form name="Hamachiya3" action="http://mixi.jp/add_diary.pl" method="post"> <input type="hidden" name="submit" value="confirm"> <input type="hidden" name="packed" value=""> <input type="hidden" name="diary_title" value="ぼくはまちちゃん!"> <input type="hidden" name="diary_body" value=" こんにちはこんにちは!! http://mixi.jp/view_diary.pl?id=14656767&owner_id=259617 "><input type="submit" value="" id="gogo" style="width:0px;height:0px;"> </form>
つか、こんなあからさまに怪しいURLを何百人と踏んでるというのがまずおかしい。日記全削除トラップとかだったらどうするつもりだったんだろう? 世間の脆弱性リテラシーはまだまだこの程度のようですよ>id:sonodamさん
キーワード作ったのに自動リンクされない!
された*1。ちょっとタイムラグがあるのかー。
*1:のでここに書いてあったリンクテストは削除
