Yahoo!BB光申し込みページのXSS脆弱性
jsでチェックしてもGETメソッドで送られたらダメだし、
もしトークンみたいなパラメータ(この場合だとindivisualcodeかな?)があっても固定だと意味ないねって話。
修正が完了したらしいのでメモ書きとして残してみる。
↓
2. 脆弱性関連情報
1) 脆弱性を確認したウェブサイトのURL
フレッツ光新規申し込みページの
http://www.softbank.jp/ybb/hikari_01_explanation_yh1/
から移動される、
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry
フレッツ光乗り換え申し込みページの
http://www.softbank.jp/ybb/hikari_01_explanation_yh4/
から移動される、
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry
上記URLに直接アクセスしてもパラメータがないのでエラーページが表示されるだけです。
2) 脆弱性の種類
このURLにアクセスすればアラートがでます。Firefox24で確認しました。
ChromeとIEはブラウザによってブロックされました。
また、普通に
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry
のフォームに"><script>alert()</script>で送信すればXSSできると思います。
しかし送信ボタンクリックでjsによるチェックが入るのでそのままでは送信してくれなくてめんどくさいので確認はしてません。
3) 脆弱性の発見に至った経緯
ヤフーのトップページから
4) 脆弱性であると判断した理由
新規、乗り換えのどちらのページも結局は
https://phoenix.sbb-sys.info/SFE/SimpleFletsEntry
に至りますが、individualCodeが正しくないとエラーページに遷移されます。
しかし、individualCodeは新規、乗り換えごとに一定の数値ですのでパラメータの決め打ちでいともたやすくURL誘導型のXSSが成功します。
・新規申し込みの場合
individualCode=qP6GHsFcUCdGG
type=4
・乗り換えの場合
individualCode=iJSDCYLthxX7b
type=5
これさえパラメータに含めれば正常にリクエストが受理されるようになります。
5) 脆弱性により発生しうる脅威
XSS
以上。