Langley のサイバーノーガード日記 やっぱりブログっていろいろ怖い 大手ブログサイトでXSS脆弱性 | ScanNetSecurity
2024.05.04(土)

Langley のサイバーノーガード日記 やっぱりブログっていろいろ怖い 大手ブログサイトでXSS脆弱性

 ご存知の方もいらっしゃると思うが、筆者はブログを書いている。といっても、月に1度も更新していないので書いているなどとは言えない状態ではある。

特集 特集
facebookLINE
 ご存知の方もいらっしゃると思うが、筆者はブログを書いている。といっても、月に1度も更新していないので書いているなどとは言えない状態ではある。

 しかしこのブログがあるおかげで、たまにタレコミを頂く。今回は、ブログサービスの脆弱性についてのご連絡を頂いた。サービス元には連絡済みであるが、まだ脆弱性が残っているので、どこかは言わないでおこう。とりあえず大手です。

●ブログの脆弱性のコードとは

 具体的なコードは下記になる。

 特定のブログのURL?ul="><script>任意のスクリプト</script>

 例えば、こんな感じになる(サンプルなんでURLは架空のものです)。

 http://blogyabaiyo.com/?ul="><script>alert(1)</script>

 IEで閲覧するとちゃんと「1」が表示されるのを確認できます。

 ついでにクッキーを読み取れるかもやってみた。

 http://blogyabaiyo.com/?ul="><script>alert(document.cookie)</script>

 見事に、当該サイトからのクッキー情報が表示された。これをこのままメールでどっかに送ればクッキー情報を簡単に盗める。

●5つの問題点

 いろいろ確認してみたところ、下記のような状況だった。

1.このブログサービスでは、ブログパーツとして検索とか、メールフォームとか、いろいろなパーツを提供している

2.どうやらブログを特定するために、ulパラメータを利用しているらしい

 ブログ内検索やメールフォームなどでは、処理を行う際にどのブログからのリクエストであるかを判別する必要がある。普通に考えると、ブログのURLを渡せばいいじゃん、と思う。実際、他の大手ブログサービスでは、リクエスト元のブログのURLを検索やメールフォームのリクエストを出す際に、渡しているところもあった。具体的には、こんな感じである。

ブログ内検索の例

<form action="ブログ内検索のプログラム" method="GET">
<input type="HIDDEN" name="q" value="当該ブログのURL">

 脆弱性のあった大手ブログサービスでは、セッションIDらしきものをリクエストの際に渡しているようである。

3.ulパラメータは本来は、利用者が使うようなものではないらしい

 セッションIDだとすれば、利用者に勝手に指定されては困るであろう。アドレスバーやブログ画面に表示されるようにはなっていなかった。

4.ulパラメータを利用者が指定すると、そのままブログパーツの中にも反映されてしまう

 例えば、検索フォームでは通常、下記のようにulパラメータが埋め込まれる。

<form action="http://blogyabaiyo.com/?ul=99d55f22acb51bf4" method="get">

 99d55f22acb51bf4がセッションIDっぽいものである(ちなみに、これは筆者が適当に作ったフェイク)。

 ところが、アドレスバーに、http://blogyabaiyo.com/?ul=11111 と指定すると、検索フォームは下記のようになる。

<form action="http://blogyabaiyo.com/?ul=11111" method="get">

 なので、「11111」の箇所に任意のHTMLコードやスクリプトを埋め込むと動いてしまうわけである。普通は、パラメータのチェックを行うものであるが、チェックルーチンがないようである。

5.全てのブログパーツに埋め込まれているわけではない

 試しにこのセッションIDらしきものを利用していそうなブログパーツをはずしてみたら、スクリプトは動かなくなった。

 余談であるが、筆者の推測であるが、この大手ブログサービスでは有料サービスやアフィリエイトサービスなどを多く行っている。つまり、利用者を特定する必要のあるサービスが多いのであろう。そのために、セッションIDを多用しているのではなかろうか?

●ブログパーツはノーチェック?

 状況を考えると、ありがちな脆弱性だと思うのであるが、率直に言ってここは大手である。それでも、まだこんな脆弱性が残っているのである。

 しかも、実は通報してから約2週間経つが未だに脆弱性への対処は完了していない。

 この件で感じたのは…

【執筆:Prisoner Langley】

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  9. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

  10. データスコープ社製の顔認証カメラに脆弱性

    データスコープ社製の顔認証カメラに脆弱性

ランキングをもっと見る
ホーム 特集 特集 記事
TOP