読者です 読者をやめる 読者になる 読者になる

Yahoo!BB光申し込みページのXSS脆弱性

jsでチェックしてもGETメソッドで送られたらダメだし、
もしトークンみたいなパラメータ(この場合だとindivisualcodeかな?)があっても固定だと意味ないねって話。
修正が完了したらしいのでメモ書きとして残してみる。



2. 脆弱性関連情報

1) 脆弱性を確認したウェブサイトのURL
フレッツ光新規申し込みページの
http://www.softbank.jp/ybb/hikari_01_explanation_yh1/
から移動される、
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry


フレッツ光乗り換え申し込みページの
http://www.softbank.jp/ybb/hikari_01_explanation_yh4/
から移動される、
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry


https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry

上記URLに直接アクセスしてもパラメータがないのでエラーページが表示されるだけです。

2) 脆弱性の種類

https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry?individualCode=qP6GHsFcUCdGG&type=4&sei=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E

https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry?individualCode=iJSDCYLthxX7b&type=5&sei=%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E

このURLにアクセスすればアラートがでます。Firefox24で確認しました。
ChromeとIEはブラウザによってブロックされました。

また、普通に
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry

のフォームに"><script>alert()</script>で送信すればXSSできると思います。
しかし送信ボタンクリックでjsによるチェックが入るのでそのままでは送信してくれなくてめんどくさいので確認はしてません。

3) 脆弱性の発見に至った経緯
ヤフーのトップページから

4) 脆弱性であると判断した理由
新規、乗り換えのどちらのページも結局は
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry
に至りますが、individualCodeが正しくないとエラーページに遷移されます。
しかし、individualCodeは新規、乗り換えごとに一定の数値ですのでパラメータの決め打ちでいともたやすくURL誘導型のXSSが成功します。

・新規申し込みの場合
individualCode=qP6GHsFcUCdGG
type=4

・乗り換えの場合
individualCode=iJSDCYLthxX7b
type=5

これさえパラメータに含めれば正常にリクエストが受理されるようになります。

5) 脆弱性により発生しうる脅威
XSS



以上。