前の投稿 次の投稿

mixi脆弱性報告制度:モラッポの脆弱性を報告してみた

mixi内のサービス「モラッポ」でオープンリダイレクタ脆弱性があり、脆弱性報告後、mixiとのやりとりが全部完了して問題が解決したので、何が可能だったか書いてみます。

問題があったURL:

http://id.mplace.jp/email/notice/confirm?account_key=1&signature=1&backurl=http%3A//evilsite.test.jp/evilsite.html


このURLをモラッポログイン中の会員に踏ませると、いったんモラッポログインに利用されているID管理ドメインの正規のエラー画面になり、backurl=パラメータにURLを指定することにより、表示されているダイアログの「閉じる」を押した後に遷移するURLを自由に指定することが可能でした。
(現在はこの問題は対応されています)

当該エラー画面:


オープンリダイレクタを脆弱性とするかどうかは議論が分かれることもあるようですが、モラッポのこの画面遷移の場合、正規のエラーページをいったん経由して任意の外部ページへ遷移させることが可能だったので、遷移先のURLをモラッポの画面そっくりな画面にしておけばフィッシングができてしまうのでは? と思い、借りてるレンタルサーバに簡単な偽モラッポログイン画面を作って、そのページへリダイレクトするサンプルURLを報告しました。
(報告日 11/4)

その後、11/14に

ご報告の内容について、対応が完了いたしました。
対応に漏れなどありましたら、お手数ですがお知らせください。
報酬に関しましては、追ってご連絡いたします。

というメールが来て、確認したら任意のURLに遷移できるような挙動はなくなり、問題は解決していました。

これ以前に報告している脆弱性も何件かあったのですが、そちらの対応より本件の対応が早かったので、これだけ速攻で対応されたという事は報酬がもらえるかな? と思っていたら本日(12/5)に

ご報告の内容について、弊社において検討した結果、直接的な被害の発生は
軽微である、または可能性が低いと判断させていただきました。
従いまして、報酬お支払いの対象外となりますことをご了承ください。

という連絡が来て、報酬ゼロでした。

まあ確かに、この脆弱性はテクニカルな意味では全然難しくないものなので(URL差し替えただけ)、低評価なのも分からなくはないですが、対応が入ったということは、対応しなければならない程度には問題があると思ったからで、被害が軽微または可能性が低いというならそもそも対応入れなくて良かったはずで・・・とか考えてしまいましたが、まあ先方の評価がそうなら仕方がありません。(対応されたからにはしょぼくても千円くらいはもらえるかと思った・・・)

というわけで相変わらず脆弱性検査で全く収入が得られない当ブログ作者でした。
まあ、報告してあるやつの中には、もうちょっと高度なものもあるので、それに期待しよう・・・。

Leave a Reply

Powered by Blogger.
© WEB系情報セキュリティ学習メモ Suffusion theme by Sayontan Sinha. Converted by tmwwtw for LiteThemes.com.