SNSにワーム仕掛けて友達数千人を水増し

この攻撃には、以前から知られていながらほとんど対策が取られていない、クロスサイトスクリプティング（XSS）という脆弱性が使われた。XSSは、単純なHTMLコードだけでなく、ユーザーがWebサイトのソースコードを操作できるダイナミックなWebサイトが多いことから発生する。

このサミーという少年が仕掛けたワームというのが、

Ajaxを使ってるそうな。

Ajaxのスクリプトを登録するのにXSS脆弱性をついたんでしょうね。

サミーへのインタビューがあります。

Samy, Their Hero

Upon executing the code, it would add me as one of their friends. This normally requires their approval, but this was all done in the background via Ajax. It required multiple GETs and POSTs in order to obtain all the information necessary, such as random hashes, to approve the friend request.

いくら承認プロセスがあっても、

Ajaxはバックグラウンドで複数回の処理を行えるので

もろくも崩れ去ってしまうという実例。

気をつけろ！！（長井風）