作り話するんぬぬが利 - 二次元裏＠ふたば

画像ファイル名：1757047279691.jpg-(2836117 B)

25/09/05(金)13:41:19No.1350157012そうだねx2 16:01頃消えます

作り話するんぬ
ぬが利用しているある画像生成AIサービスのサイト…そこのログイン方法について気づいたことがあったんぬ
discordやgoogleアカウントでログインできるんぬが、outh2の画面を越えた後に、一瞬だけ"login token=ランダムな文字列"というようなURLにアクセスしているんぬ
別端末にそのURLを送り、アクセスすると、認証をしてないのにさっきのアカウントでログインできたんぬ
ぬはちょっと思いつきで、アクセス先のURLを記録するURL短縮サイトを作ってみたんぬ
そこでその生成AIサイトのエロ作品へのリンクを作り、AI生成サイトの公式Discordに貼ったんぬ
皆が短縮URL経由でアクセスしたんぬ
その後試したんぬが他人のアカウントでログイン可能だったんぬ
ぬの小さな鯖には1000人を超えるレコードが保存されているんぬ…

このスレは古いので、もうすぐ消えます。

…	125/09/05(金)13:42:28No.1350157281そうだねx41 ハックキャッツ！

…	225/09/05(金)13:44:59No.1350157888そうだねx16 短縮URLサイト作り話でよかったんぬなー

…	325/09/05(金)13:46:13No.1350158187+ かしこキャッツ！

…	425/09/05(金)13:47:10No.1350158411そうだねx2 これが本当の泥棒猫なんぬ！

…	525/09/05(金)13:47:23No.1350158470そうだねx2 で、ぬはふと思ったんぬ画像生成サイトで他人のアカウントにログインできてもその人が非公開でどんなエロ作品作ってるかとか、児ポ作ってないかとか調べたり、その人のサイト内通貨を使って湯葉場のエロ動画を大量生産するくらいのことしかできないんぬがもしこれが金銭を扱うサイトだったらどうなるの？とぬはサイバーセキュリティ全然詳しくないんぬが、大手通販サイトとか、ネットスーパーとか、ちょっと見ていこうと思うんぬ

…	625/09/05(金)13:47:37No.1350158527そうだねx4 作り話で良かったんぬな～

…	725/09/05(金)13:47:41No.1350158542+ ここらへんを読むんぬ https://qiita.com/TakahikoKawasaki/items/200951e5b5929f840a1f

…	825/09/05(金)13:48:48No.1350158797そうだねx34 >ここらへんを読むんぬ >https://qiita.com/TakahikoKawasaki/items/200951e5b5929f840a1f そのURL踏むとアクセス記録が盗まれるんぬね？わかります

…	925/09/05(金)13:55:28No.1350160287そうだねx5 やってるのバレたらアウトなやつじゃないのそれ

…	1025/09/05(金)13:57:07No.1350160684そうだねx22 不正アクセスキャッツ！

…	1125/09/05(金)13:58:12No.1350160924そうだねx2 ヤバ猫

…	1225/09/05(金)13:59:51No.1350161313+ 通報したんぬ

…	1325/09/05(金)14:00:05No.1350161364+ 犯罪猫

…	1425/09/05(金)14:02:27No.1350161890そうだねx1 しっそれ以上はリアルオフパコレ話よりまずいんぬ⋯

…	1525/09/05(金)14:03:42No.1350162163そうだねx15 作り話って書けば許されるわけじゃないんぬなー

…	1625/09/05(金)14:07:15No.1350162995+ クリミナルキャッツ！

…	1725/09/05(金)14:09:56No.1350163618そうだねx9 セキュリティリスク見つけて報告するならともかくリスクを利用して不正アクセスしたらアウトなんぬポリスのご厄介になる案件なんぬ…

…	1825/09/05(金)14:13:36No.1350164410+ ぬはサイバーセキュリティ詳しくないんぬがouth2のあとにリダイレクトされるURLはアクセストークン付きのURLってことでいいんぬ？アクセストークンって期限付きでないといけないと思うんぬが、昨日取得したURLにアクセスできてしまうって挙動はouth2として正しいんぬ？

…	1925/09/05(金)14:14:13No.1350164541そうだねx1 どっかの新聞社がワクチン接種予約サイトで虚偽予約した時みたいなんぬ

…	2025/09/05(金)14:18:55No.1350165596そうだねx1 意図的に他人の情報収集＋その情報を使って実際にアクセスもしてるから捕まったら 3年以下の懲役または100万円以下の罪になるんぬ…気づいても普通やらねえんぬ

…	2125/09/05(金)14:20:27No.1350165941+ >意図的に他人の情報収集＋その情報を使って実際にアクセスもしてるから捕まったら >3年以下の懲役または100万円以下の罪になるんぬ…気づいても普通やらねえんぬさっきから脅してるんぬが捕まえてごらんなさ～いって感じなんぬ

…	2225/09/05(金)14:21:53No.1350166274そうだねx1 トークンつきのURLを返すっていうのはRFCに準じた動きに見えるんだけど、トークンに期限がついてないのがまずいのかな？実装ミス？

…	2325/09/05(金)14:22:15No.1350166364そうだねx13 やっちゃいけないことをやるなってだけの話なのに反応が中学生あたりのそれなんぬな関わらないほうがいい奴なんぬ

…	2425/09/05(金)14:25:26No.1350167019そうだねx2 >やっちゃいけないことをやるなってだけの話なのに反応が中学生あたりのそれなんぬな >関わらないほうがいい奴なんぬもしかして生成AIサイトでエロ画像を生成している？

…	2525/09/05(金)14:26:21No.1350167222+ ビビってバカなこと言い出してて笑っちゃうんぬ

…	2625/09/05(金)14:27:09No.1350167381そうだねx3 >ビビってバカなこと言い出してて笑っちゃうんぬ脅せてると思ってるんだ…

…	2725/09/05(金)14:28:21No.1350167631+ URLコピーすると他人が見れちゃうっていうのは昔からちょくちょくあるやつなんぬなぁ 🦊とかもそれに似てる形でぶっこ抜いてたんぬなぁ

…	2825/09/05(金)14:28:31No.1350167673+ 作り話でよかったんぬなー

…	2925/09/05(金)14:29:37No.1350167899そうだねx3 ぬも別に詳しくはないけど見える形で返ってくるコードはそれを使って正式なトークンを裏で取るのに1回だけ使えるようなもんだった気がするんぬ OAuthも認証フローいくつかあったとは思うけど見える形でトークンそのものを返しちゃうパターンなんてあるんぬ？

…	3025/09/05(金)14:30:49No.1350168147+ 当たり前だけど脆弱性診断とかやれば当然引っかかるんぬやってないところは知らないんぬ

…	3125/09/05(金)14:32:34No.1350168513+ もしかして全ユーザーに同じトークンの使い回ししてるガバガバ開発なんぬ？

…	3225/09/05(金)14:32:49No.1350168561そうだねx2 やるまではダメだけどそれはともかくこういうスレで言う承認欲求がぬ…

…	3325/09/05(金)14:33:52No.1350168809+ >脅せてると思ってるんだ… ぬ？ぬじゃないんぬこいつ

…	3425/09/05(金)14:34:02No.1350168848+ ローカルで製作して助かったんぬ

…	3525/09/05(金)14:34:27No.1350168930+ そんな作りじゃなきゃいけないならリファラのチェックくらいしてほしいんぬな

…	3625/09/05(金)14:34:46No.1350168990+ 流石にアクセスログとかは取ってるだろうし足跡が残らないってことはないからできると分かっても手を出すべきことじゃないな…万一のリスク考えると怖すぎる

…	3725/09/05(金)14:35:00No.1350169031+ 知ってるとこはREST APIにbearer tokenとして特定キー渡して認証する奴があった気がするんぬ

…	3825/09/05(金)14:35:12No.1350169073そうだねx3 とりあえず通報した

…	3925/09/05(金)14:36:15No.1350169316そうだねx5 実際そのサイトにお知らせしてあげたほうが良いんぬ

…	4025/09/05(金)14:37:09No.1350169504そうだねx13 知らせて対処してくれました！みたいなスレだったら心置きなく作り話を楽しめたのにぬ

…	4125/09/05(金)14:38:42No.1350169816+ 法律ガバガバだった昔ならともかくなんで今の時代にやっちゃうんだろうね

…	4225/09/05(金)14:38:59No.1350169870そうだねx6 いいや湯婆婆を生産してもらう

…	4325/09/05(金)14:41:48No.1350170482そうだねx2 こういう承認欲求マシマシ精神クソガキ犯罪自慢する奴がいるから猫スレが嫌われるんぬなぁ…

…	4425/09/05(金)14:44:41No.1350171088+ >ぬはちょっと思いつきで、アクセス先のURLを記録するURL短縮サイトを作ってみたんぬ >そこでその生成AIサイトのエロ作品へのリンクを作り、AI生成サイトの公式Discordに貼ったんぬこれやってもログインページのURLが記録されるだけじゃないんぬ？そこからのリダイレクト情報も記録されるんぬ？

…	4525/09/05(金)14:50:17No.1350172295+ それで最近銀行があたふたしてたようぬあ…

…	4625/09/05(金)14:50:29No.1350172336+ まあ捕まらないといいですね…

…	4725/09/05(金)14:52:59No.1350172870+ これって対策する場合何が最良なんぬ？トークンを使い切りにしてしまうこと？

…	4825/09/05(金)14:54:15No.1350173121+ まずアクセス先のURLが記録できる短縮URLサービスってのがよく分からないんぬ… 指定されたURLにリダイレクトする以外のことしてるんぬ？リバプロ的なことするにしても相手がhttpじゃないと成立しない気がするんぬ…

…	4925/09/05(金)14:54:37No.1350173195そうだねx3 全部本当ならローラーすれば特定できるレベルで情報出してる気がするんぬ

…	5025/09/05(金)14:54:45No.1350173230そうだねx1 discoで度々「迂闊にURL踏むなって言ってんだろうが！！」って鯖ｸﾝﾘﾆﾝがキレてる理由が分かるんぬなあ

…	5125/09/05(金)15:00:29No.1350174446+ そのToken付きURLをユーザ自らがコピペして短縮URL作るような仕組みじゃないと無理じゃね？

…	5225/09/05(金)15:24:19No.1350179313+ >そのToken付きURLをユーザ自らがコピペして短縮URL作るような仕組みじゃないと無理じゃね？アクセスしたら催眠アプリ表示されるの想像してダメだった

…	5325/09/05(金)15:26:16No.1350179714+ >もしこれが金銭を扱うサイトだったらどうなるの？と >ぬはサイバーセキュリティ全然詳しくないんぬが、大手通販サイトとか、ネットスーパーとか、ちょっと見ていこうと思うんぬ例えば尼で同じことができたとしてもお縄にならない活用法が思いつかないぬそっから何かしようとした時点で特定されちゃうと思うぬ

…	5425/09/05(金)15:30:13No.1350180542+ サイトの実装がいくらカスでも犯罪は犯罪キャッツなんぬ

…	5525/09/05(金)15:30:57No.1350180696そうだねx1 セッションハイジャックってやつぬ？