Archive for the ‘XSS’ Category

パラメータを好きなものに書き換えて送ってくれるsWebMachineGunを使ってみたのでメモ   no comments

Posted at 7:04 pm in XSS

こんにちは。
毎日暑いですね。故郷を思い出します。

暑いですね

暑いですね

さて、日々Webの診断を行っておりますが、会社の近くに座ってる人がsWebMachineGunという便利なツールを作って公開されていたので使ってみました(導入方法とかは公開サイトの方をご覧ください)。
これは楽ができるかもということで診断の仕事でも使おうと思うのですが、どうにも忘れっぽいので備忘録代わりにメモ書きを残しておこうと思います。

まだざっくりとしか使ってないので間違い等あるかもしれません。そのときはお気軽にご指摘いただけると助かります。

●ざっくり何ができる?

いろいろパラメータを変更したHTTPリクエストを半自動的に発行して、結果を受け取ることが可能です。受け取った結果をいろいろ見て脆弱性発見の助けになるかもしれません。もちろんHTTPSにも対応していますよ。他にもいろいろできるみたいですがまだちょっとわからないのでもうちょっと使いこなしてからですね。

Read the rest of this entry »

Written by bogus on 8月 5th, 2015

bookfreshのXSSのはなし   no comments

Posted at 9:28 am in XSS

bookfreshのXSSを見つけて報告したけどDuplicateだったのでメモ。

モバイルサイトの方に反射型XSSがあったので報告しました。
便宜上FirefoxでUAをいじったものですが、Android版のFFで発動します。

ログインするとダッシュボードが表示されますが、ここには目もくれず
メニューの一番上の「Appointments」をクリックします。
いくつかまたメニューが表示されるのですが、それは置いといて一番下の
「Switch to Desktop Mode」というリンクがあります。

https://www.bookfresh.com/index.html?view=history&o=r&full_site=yes

みたいなURLですが、このfull_siteパラメータに問題があります。

とりあえず、
https://www.bookfresh.com/index.html?view=history&o=r&full_site=yes%22%3E%3Cs%3E
のようにyesの後ろに”><s>を付けてみますが特に何も起きません。

特に何も起きないのですが、メニューをクリックするとあら不思議。
打ち消し線が入っているのがわかります。

ソースを見るとエスケープされていないのがわかります。

なので、yes”><script>alert(0)</script>とかやってみますよね。
しかしながら<script>は[removed]になってしまいます。

つぎはyes” onmouseover=alert(0)//を試してみましょう。
alert&#40;0&#41;になってしまいます。

ギャー

ということで
https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2522%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert%26%2340%3B0%26%2341%3B%2527%2F%2F&done_name=Reservations

https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2527%3B%2522%253E%253Cs%253C%2Fscript%253E%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert\x28location\x29%2527%2F%2F&done_name=Reservations

https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2527%3B%2522%253E%253Cs%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert\x28location\x29%2527%2F%2F&done_name=Reservations

Written by bogus on 5月 18th, 2015

ちょっと前のAdobeのヘルプファイルのXSSについて   5 comments

Posted at 9:23 am in XSS

この記事は 脆弱性”&'<<>\ Advent Calendar 2014 11日目の記事です!

こんにちは。皆様いかがお過ごしでしょうか。お久しぶりです。

私はフリー→派遣社員→無職→会社員と1年で4つも立場が変わりましたが、何となく脆弱性を見つけて日々過ごしています。あとネコを亡くして新しく迎え入れて逃げられて帰ってきて、というこちらについても怒涛の一年でした。毎年今年こそは平穏無事な日々を、と思っておりますが、なかなかそういうわけにもいきません。

ようやく落ち着いてきました

ようやく落ち着いてきました

 

さて、12月になって脆弱性 Advent Calendar 2014という興味深いものが日々公開され続けています。わたしも1つくらいは書けたらいいなあと思ってブログの下書きを見返したところ、なにやら書きかけのものがあったので、これを公開すればいいかなあと思ったのですが、惜しくもすでに24日を除いて全部埋まっておりました。イブに公開するほど大したものでもありませんのでひっそりと公開させていただきます。(とtwitterで書いてたら@hasegawayosukeさんに枠を1つ譲っていただきました。わーい。)

で、早速脆弱性の話なのですが、IPAから[複数の Adobe 製品のヘルプページにおけるクロスサイトスクリプティングの脆弱性(http://jvn.jp/jp/JVN84376800/)]が9月にようやく公開されたので、ちょっと時間は立ってしまいましたがこれについて書きます。報告したのは2012年の11月なのでおよそ2年前ですね。端的に書くと、Adobeのアプリにはそれぞれ中にヘルプページが入っているわけですが、このページにDOM based XSSがあって、location.searchだったかの扱いに問題があります。frameタグの中にそのまま書き出してる系ですね。

影響を受けるシステムはAdobe Acrobat 9.5.2 およびそれ以前とColdFusion 8.0.1 およびそれ以前、となっていますが、実際手元で確認したのがこの2つのパッケージだっただけだということで、実際はこの2つと同時期に流通していたAdobeのかなりの種類のアプリ(というかほぼ全部)が該当するはずです。具体的にはInDesign5とかイラレ8とかFlash10とかそのあたりです。

 

ローカルファイルのXSS

ローカルのヘルプファイルにあるXSS

 

他のパッケージにも脆弱性があると強く思っている理由は、過去(一部現在も)Adobeのサイトにそれらアプリケーションのヘルプファイルが置かれていたのですが、そこに上記のXSSが存在していたからです。普通に考えると同じ製品版にもあるに決まってますよね。

で、XSSの詳細について書こうと思ったのですが、ちょっと参照してみるとまだ脆弱性のあるページがAdobe.comにあったので詳細は差し控えます。言われたところしか修正しない会社って意外と多い気がします。

AdobeのサイトにあったXSS(これは修正されている)

AdobeのサイトにあったXSS(これは修正されている)

またColdFusionのサポートを見てもアップデートが出ている様子もなく、JVNのAdobeからの情報によるとThis issue is no longer reproducible in currently supported products.とのことなので、サポート外で放置なのかもしれません。とりあえずこのへんの古いバージョンのAdobeのアプリを使ってる人はfile:// の変なリンクをクリックしない方がいいと思います(ColdFusionの場合http://でも影響ありますが)。あと書き忘れていましたがWindows版のみでMac版は大丈夫だと思います。

Written by bogus on 12月 11th, 2014

xssyahoo.comを取得しました   12 comments

Posted at 10:13 pm in diary,XSS

こんにちは。

最近引き取った猫がいきなり脱走して未だ未帰還だったり(自分の居場所に帰ってればいいのですが…)いろいろあってなかなか更新できません。

早く帰ってきてください

早く帰ってきてください

で、たまには更新しなきゃということで
最近修正されたYahoo!のXSSについてちょっと書こうかと思います。

とはいえyahoo.com以外には残っていそうな予感がするので要点だけ。

Yahoo!では外部入力を無防備に(もちろんある条件が整えばの話ですが)HTMLとして書き出す外部ドメインのHTMLファイルを読み込むという、ややこしいうえにセキュリティ的にはなんだかなあということを行っているところがありました。きっとクロスドメインな何かを行いたかったんだと思います。

それだけだとパートナーサイトしょうがないなあで終わりだったのですが、なぜか同じものがyahoo.comにもあり、それを見つけて昨年指摘しました。脆弱性の数でいうと数個なのですが、loginやsecurityを含むYahoo!のほぼすべてのサブドメインになぜかそのhtmlが置かれていたのでURLでいうと1000くらいありました。ほとんどのサイトでそのhtmlが使われている形跡がないのに不思議ですね(au.yahoo.comとかサブドメインでは実際に使われていました)。

指摘から半年が過ぎ、少しずつ*.yahoo.com内のページが修正/削除されて、3月くらいにはすべてなくなっていきました(合わせて5000ドルくらいいただきましたありがとうございます)。

とはいえお気に入りの仕様なのか何の都合かは知りませんが、なぜか*.yahoo.com以外のドメインには残っています。そのため、あんまり大っぴらに書けないなあと思いながら過ごしていたのですが、何かの拍子にこのHTMLファイルの新バージョンを見つけてしまいました。

さすがに修正されているだろうと思いソースを見たのですが肝心の部分はそのままです。ですが、refererを見て呼び出し元がYahoo!のときだけHTMLを書き出すというように条件が追加されています。


if( ! /^https?\:\/\/[^\/\?]*yahoo\.(net|com)(\:\d+)?([\/\?]|$)/.test(d.referrer) )

*yahoo.comと*yahoo.net…えっ!?
これってyahooじゃなくてもオッケーやん…

ということでxssyahoo.comというドメインを取得しました。

xssyahoo.com取得しました。

xssyahoo.com取得しました。

xssyahoo.comから読み込むと予想通りXSSできました。

ということで先月報告したこのXSS、今朝、無事に修正された(というかファイルが消された)との連絡が来ました。次のバージョンではもうちょっとまともになってるといいですね。つかこのファイルyahoo.comに置いちゃダメだから。

Written by bogus on 7月 8th, 2014

ミクシィの脆弱性報告制度でAmazonギフトをもらったのでWriteUpを書いてみる   60 comments

Posted at 12:19 pm in Security,XSS

こんにちは。今日は久しぶりに雨ですね。

cats_2013-12-06_17

雨はやだなあ

 

それはともかく10月にミクシィの脆弱性を報告したんだけど、それに対して報償のギフトをもらった&もらえなかったので、そのWriteUp的なことを書こうと思う。

どちらの脆弱性も修正されているが、URLなどについては隠しているところもあるのでご承知おきいただきたい。

Read the rest of this entry »

Written by bogus on 12月 10th, 2013

jquery.prettyPhotoライブラリにおけるDOM based XSSについて   6 comments

Posted at 2:48 pm in internet,Security,XSS

こんにちは。ハッカージャパンが終わってしまい、次の身の振り方を考えると夜も寝られないアラフォーです。いい加減にハローワークに行こうと思いながらも、ついつい寒いので家から出ないという目も当てられない状況です。だれか誘ってください。

cats_2013-11-24_15

どこかからお金が降ってこないかなあ。

そんなどうしようもないかんじで年を越そうとしているわたくしですが、http://attack-secure.comというセキュリティサイトのXSSを発見して、報償としてセキュリティWeb講座の受講権利をいただきました。英語ですががんばってこれで勉強してセキュリティ業界の端っこの方にでも潜り込みたいと思います。

また、同じようなものを見つけたpocketというサービスに名前が掲載されたりもしています。

getpocket_m

getpocket.comのXSS(すでに修正済み)

ということで、ここからはこれらのサイトのXSSについてちょっと書かせていただこうかと思います。

Read the rest of this entry »

Written by bogus on 11月 28th, 2013

RockDiskのXSS脆弱性について   3 comments

Posted at 3:02 pm in XSS

こんにちは。早いものでもうすぐ11月ですね。ろくに仕事もしていないのにもう今年もあと2か月ですよ。

cats_2013-10-28_10

だいたいぐったりしています

さて、そんな悲しいお知らせはおいといて、今日IPAの方から「届出情報公表のご連絡」が届いた脆弱性の話でも書こうと思います。

JVN#74608669
RockDisk におけるクロスサイトスクリプティングの脆弱性
これですね。

さて、我が家ではNASとしてI/OデータのRockDiskというものを使ってて、だいたいSMB経由でアクセスしているのですが、ある日、ファームの更新のお知らせがやってきたので久しぶりにアクセスして、ファームをアップデートしたわけです。これによってMacからのファイル送受信速度が早くなって何気にうれしかったりしたのですが、それは今回のXSSとは全く関係ありません。

ファームの更新はWebのダッシュボードから行ったのですが、WebにアクセスしたついでにWebから何ができるんだったっけ、と思いファイルでも見るか、とファイルリストを表示してみたわけです。

すると、は??

RockDisk-01

なんじゃこりゃー!
ということでXSSです。奥さん。
たまたま
“><img src=0 onerror=alert(document.cookie)>.html
みたいなファイルを保存してたんですね(名前順だと先頭なのでいきなりですね)。

と出オチみたいなXSSでした。
あんまり影響はないかと思うのですがIPA的には「インターネット経由からの攻撃が可能」となっていますので、攻撃を考えてみますと、もし、RockDiskを複数ユーザーで使っていて、しかもインターネット経由で共有していたりする場合、悪意を持ったユーザーがスクリプトを含むファイル名のファイルをアップロードしておくことで、他のユーザーがファイルリストを閲覧した際にスクリプトが実行されることになると思います。

お持ちの方は、すでに新ファームウェアが公開されていますのでアップデートするか、1人で使うようにしましょう。

Written by bogus on 10月 29th, 2013

EC-CubeのXSSとセッション固定の脆弱性について   12 comments

Posted at 2:31 pm in Security,XSS

こんにちは。暑いですね。相変わらずゴロゴロしておりますが、ゴロゴロしててもお腹も空くし、お金も減っていくんですよ。不思議ですね。

暑くてぐったりですね

暑くてぐったりですね

 

さて、昨日のことですが、EC-Cubeがアップデートされ、5つの脆弱性に関する修正がありました。

その中で「カート画面でのXSS脆弱性、及びセッション固定の脆弱性」という脆弱性について、報告者の立場から追加となる情報をいくつか書いておこうと思います。報告したのは今年の1月ですから4ヶ月でかけての修正となります。

なお、他の「パスワードリマインド機能における不適切な入力確認の脆弱性」、「一部環境における、管理画面の不適切な認証に関する脆弱性」、「お届け先複数指定画面でのXSS脆弱性」という脆弱性についての情報はありませんのであしからずご了承ください。つか誰か詳細を教えてください。
Read the rest of this entry »

Written by bogus on 5月 24th, 2013

imgboard におけるクロスサイトスクリプティングの脆弱性について   no comments

Posted at 2:57 pm in internet,Security,XSS

こんにちは。もはや2月ですね。

相変わらずわたくしの方はゴロゴロと家の中を転がったりネコを愛でたりしています。たまには外に出てお友達に遊んでもらったりもしていますが、たまに原稿を書くほかは貯金を食いつぶす毎日でございます。

cats_2013-02-13_6

最近一番仲のいいお友達

で、それはいいとして14日にJVNから「imgboard におけるクロスサイトスクリプティングの脆弱性」という情報が公開されました。なんか見覚えあるなあと思ったら自分の名前も載っていました。東内です。ああそういえば結構前に報告してとっくに修正されてたあれだー。

Read the rest of this entry »

Written by bogus on 2月 15th, 2013

いくつかの地方自治体のWebサイトのXSS脆弱性について   2 comments

Posted at 8:43 pm in Security,XSS

こんにちは。さまよえる無職の山本です。もう花粉症が始まったのかひどい病気なのかわかりませんが右目がかゆくてたまりません。

それはともかく、年末にゴロゴロしながらテレビを見ていましたら、ある町のことが話題になりまして、そうなるととりあえずググってみるじゃないですか。そしたらその町のサイトなんかが出てくるからちょっと見てみるじゃないですか。
でちょっと見たら怪しい香りがするんですよねー。で、ちょっと調べてみたら、ありました。XSS。

私はログインできるわけじゃないんですが、まあ、変なタグや画像は埋め込めちゃうわけじゃないですか。anonymousにかぶれてるような中学生なんかが見つけてしまったら「Hacked By Silence200」みたいなのを埋め込まれて(昨日やってるのをtwitterで見かけました)拡散されてしまうわけじゃないですか。ああ、恥ずかしい。

それに、後述するようにCMSなので、管理する人はきっとログインするはずなので、ログインしてから変なURL踏んでしまったら、セッションハイジャックされるじゃないですか。いやーん。

cats_2012-12-16_1

年末ゴロゴロしているときのお話です

 

Read the rest of this entry »

Written by bogus on 1月 23rd, 2013