mixiの脆弱性を報告したら10万円分のAmazonギフト券貰った

タイトル詐欺。
正確にはmixiプラットフォーム上のmixiゲーム「ふにゃもらけ」のゲーム内通貨が増やせる脆弱性
修正は1ヶ月以上前に終わっているので載せても大丈夫だろう!!

mixi脆弱性報告制度を導入していて、脆弱性の影響度、深刻度により定められた報酬額をAmazonギフト券という形で支払っている。
https://developer.mixi.co.jp/inquiry/security/


f:id:shutingrz:20131225180536j:plain
4コマ漫画を見ることで1日1回10K(クラゲマネー)が貰えるけど、この脆弱性を利用すれば何回でも10K貰える。
脆弱性としてはあるあるなものだったけど、影響範囲が大きいし、比較的人気なゲームなこともあってギフト券をくれたのかな?



脆弱性としてはこんなもの。


mixiゲーム、ふしぎな生き物 ふにゃもらけ
http://mixi.jp/view_appli.pl?id=9443&area=category_list

における、ゲーム内通貨であるクラゲマネーが、ある操作によって無尽蔵に増やせる脆弱性


ターゲットとなるコンテンツは、「4コマを見て10Kゲット!」コンテンツです。
4コマのページ、
http://mixi.jp/run_appli.pl?id=9443&appParams={%22mode%22%3A%22fourkoma%22}
内の「ボーナス10Kゲット!」リンク
http://funya-mixi.appspot.com/bonus_4koma
で送信するパラメータに起因します。

このパラメータは、
user_id=[mixi内部ユーザID]
date=[ある法則で算出されbase64と思われるエンコードがされた値]
req_id=[恐らくリクエストを管理する値]

の3つがありますが、dateのパラメータを変更するだけでいくらでも10Kをゲットすることができました。

実証した際のURLパラメータがこちらです。

http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErg%3D%3D&req_id=57070648

上記のURLは、正規の手続きを踏んだURLです。

以下6つのURLは、dateパラメータ、
「8k0Anj3GxycUsaFFwkVErg%3D%3D」
の%3D%3Dの前の「g」を「h」「i」「j」「k」「l」「m」に変更して送信した際のURLです。


http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErh%3D%3D&req_id=57070648

http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVEri%3D%3D&req_id=57070648

http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErj%3D%3D&req_id=57070648

http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErk%3D%3D&req_id=57070648

http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErl%3D%3D&req_id=57070648

http://funya-mixi.appspot.com/bonus_4koma?user_id=[ユーザID]&date=8k0Anj3GxycUsaFFwkVErm%3D%3D&req_id=57070648


これによって7回の送信、つまり70Kを得ることが出来ました。


上記の脆弱性による影響をmixi脆弱性報告制度の指標に則ってまとめてみると、


脆弱性によって可能になるデータ操作(取得、削除など)

→取得


・影響を受けるデータの範囲(全データ、重要なユーザデータなど)

→ゲーム内通貨データ


・影響を受けるデータの所有者(自分、自分以外)

→内部ユーザIDパラメータを変更すれば自分以外でも変更可能なはず。


・影響を受けるユーザ数

→全ユーザ


・攻撃が成立するために、ユーザの操作が必要か否か

→URLを踏むだけで可能。


・攻撃が成立するために、攻撃用アプリケーションのインストールが必要か否か

→不要。




この旨を記述したメールを10月下旬に送ったら、すぐさま修正され、12月24日に報酬額であるAmazonギフト券10万円を貰った。
報酬額からしてmixiの定める、
「変更できるべきではない、自分の重要なデータを変更し、チート行為が可能 10万円」
に当たったのではないかな〜と思う。

みんなもmixiをよりセキュアにして報酬額を貰っちゃおう♪


以上。