mixiの脆弱性を報告したら10万円分のAmazonギフト券貰った
タイトル詐欺。
正確にはmixiプラットフォーム上のmixiゲーム「ふにゃもらけ」のゲーム内通貨が増やせる脆弱性。
修正は1ヶ月以上前に終わっているので載せても大丈夫だろう!!
mixiは脆弱性報告制度を導入していて、脆弱性の影響度、深刻度により定められた報酬額をAmazonギフト券という形で支払っている。
https://developer.mixi.co.jp/inquiry/security/
4コマ漫画を見ることで1日1回10K(クラゲマネー)が貰えるけど、この脆弱性を利用すれば何回でも10K貰える。
脆弱性としてはあるあるなものだったけど、影響範囲が大きいし、比較的人気なゲームなこともあってギフト券をくれたのかな?
脆弱性としてはこんなもの。
mixiゲーム、ふしぎな生き物 ふにゃもらけ
http://mixi.jp/view_appli.pl?id=9443&area=category_list
における、ゲーム内通貨であるクラゲマネーが、ある操作によって無尽蔵に増やせる脆弱性。
ターゲットとなるコンテンツは、「4コマを見て10Kゲット!」コンテンツです。
4コマのページ、
http://mixi.jp/run_appli.pl?id=9443&appParams={%22mode%22%3A%22fourkoma%22}
内の「ボーナス10Kゲット!」リンク
http://funya-mixi.appspot.com/bonus_4koma
で送信するパラメータに起因します。
このパラメータは、
user_id=[mixi内部ユーザID]
date=[ある法則で算出されbase64と思われるエンコードがされた値]
req_id=[恐らくリクエストを管理する値]
の3つがありますが、dateのパラメータを変更するだけでいくらでも10Kをゲットすることができました。
実証した際のURLパラメータがこちらです。
http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErg%3D%3D&req_id=57070648
上記のURLは、正規の手続きを踏んだURLです。
以下6つのURLは、dateパラメータ、
「8k0Anj3GxycUsaFFwkVErg%3D%3D」
の%3D%3Dの前の「g」を「h」「i」「j」「k」「l」「m」に変更して送信した際のURLです。
http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErh%3D%3D&req_id=57070648
http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVEri%3D%3D&req_id=57070648
http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErj%3D%3D&req_id=57070648
http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErk%3D%3D&req_id=57070648
http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErl%3D%3D&req_id=57070648
http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErm%3D%3D&req_id=57070648
これによって7回の送信、つまり70Kを得ることが出来ました。
上記の脆弱性による影響をmixiの脆弱性報告制度の指標に則ってまとめてみると、
・脆弱性によって可能になるデータ操作(取得、削除など)
→取得
・影響を受けるデータの範囲(全データ、重要なユーザデータなど)
→ゲーム内通貨データ
・影響を受けるデータの所有者(自分、自分以外)
→内部ユーザIDパラメータを変更すれば自分以外でも変更可能なはず。
・影響を受けるユーザ数
→全ユーザ
・攻撃が成立するために、ユーザの操作が必要か否か
→URLを踏むだけで可能。
・攻撃が成立するために、攻撃用アプリケーションのインストールが必要か否か
→不要。
この旨を記述したメールを10月下旬に送ったら、すぐさま修正され、12月24日に報酬額であるAmazonギフト券10万円を貰った。
報酬額からしてmixiの定める、
「変更できるべきではない、自分の重要なデータを変更し、チート行為が可能 10万円」
に当たったのではないかな〜と思う。
みんなもmixiをよりセキュアにして報酬額を貰っちゃおう♪
以上。