認証
dev.twitter.com(現在のdeveloper.twitter.com)とapi.twitter.com(Sign in with Twitter)において、Twitter公式アプリケーションと瓜二つの偽物が作成可能で、詐称できた問題について書き起こします。
PASSWORD_BCRYPTアルゴリズムの72文字制限は過去に言及されていますが、掘り下げて調べてみると、どうやら真実は少し違うようでした。厳密には、72文字で切り詰められるのは間違いないですが、その仕様に誤解がありました。
Overpass-the-hash Attackを体験しよう!
Safariのフィッシング対策設定の無効化することで、アドレスバー偽装(厳密には挙動が微妙です)が可能です。
URLにBasic認証を埋め込む方法があるのですが、これをオープンリダイレクトの攻撃に応用できます。日々の健全な脆弱性診断にご活用ください。