dev.twitter.com（現在のdeveloper.twitter.com）とapi.twitter.com（Sign in with Twitter）において、Twitter公式アプリケーションと瓜二つの偽物が作成可能で、詐称できた問題について書き起こします。

PASSWORD_BCRYPTアルゴリズムの72文字制限は過去に言及されていますが、掘り下げて調べてみると、どうやら真実は少し違うようでした。厳密には、72文字で切り詰められるのは間違いないですが、その仕様に誤解がありました。

Overpass-the-hash Attackを体験しよう！

Safariのフィッシング対策設定の無効化することで、アドレスバー偽装(厳密には挙動が微妙です)が可能です。

URLにBasic認証を埋め込む方法があるのですが、これをオープンリダイレクトの攻撃に応用できます。日々の健全な脆弱性診断にご活用ください。