「キキキーったー」を使ってみた

投稿日:

キキキーったーってのがTLに流れてきたので使ってみた。

ん?エラー?

tweetの文字列にを'(半角シングルクォート)で囲んでコマンド引数に渡しているので、foursquareからのポストの I'm at... でクォートが閉じられたことになってますね。

なので悪意あるtweetをしてからこのサービスを利用するとコマンドインジェクションができちゃいそうです。例えば以下のような。

'; rm -rf /; echo '

試していない(そのつもりもない)のでアレですが。。

【追記: 2010.09.29 01:20】作者の方とtwitterでやりとりして、現在修正中とのこと。僕も今よっぱらっているので詳細は明朝以降に書きたいが、大事にはならないと思うよ。対応してくれているし。