tekitoumemo’s diary

思ったことを書くだけ。長文版Twitter

chatwork api危なくね?

技術ネタ。

※セキュリティの知識がほとんどないけど偉そうに書くよ!

chatworks api
http://developer.chatwork.com/ja/authenticate.html
いろいろいじってみた。簡単。

危なくね?①

まず、ここでtoken取得

HTTPリクエストヘッダに X-ChatWorkTokenと言うキーをセットして取得したtokenをvalueへ。

認証完了。

これブルートフォースアタックくらったらどうなんの?
記憶上だとtokenが結構短かった気がする。まぁ対策してんだろうけど。

危なくね②

roomidが連番(だった気がする)
適当な数字で大体該当。っかこれkeyじゃね?
http://developer.chatwork.com/ja/endpoint_rooms.html

危なくね③

重要
APIトークンは有効期限がなく、機能にフルアクセスが可能なものになっています。第三者へ開示しないよう取り扱いには十分ご注意ください。また、APIトークンはURLのクエリストリングではなく必ずHTTPリクエストヘッダで送信するようにしてください。

アカン

危なくね?④

ユーザー数が多い。
ここにも書いてあるけど10万社導入(すげぇ)。100〜500万ユーザーぐらいいそう。
http://blog-ja.chatwork.com/2016/06/cwblog_16.html?m=1
多ければその分のtoken、roomidとか発行されてるから大丈夫なんか?

ドキュメントの拡張子がhtml

mvc使ってない?ベタがき?

感想

slackで良くね?