security report 2011
Evernote
IEのXSSフィルタを無効にするようにアナウンスしているが、実際にXSSがある
evernote.comドメインに画像があるので、ユーザー投稿画像でXSSが可能だった
投稿系にCSRFがあった
チュートリアル動画表示箇所で任意パラメータ埋め込み可能だった
jQueryでタブ切り替え箇所でXSSが可能だった
たまたま来日していたCEOに呼び出されて刺身をおごってもらった
tweetdeck.com
他の人が見つけたXSSの取次(Tweetにそのままタグが通るという誰でも気づきそうなものが放置)
検索機能のjs埋め込み箇所で他のXSSがあったのでついでに報告
LastPass
データベース漏洩騒ぎのタイミングでついでに調査
ログインフォームでXSS or オープンリダイレクタがあった(過去に報告があったのとほぼ同じ箇所)
適当にXSSを探していたらIPアドレスでBANされて、もしあなたがセキュリティ研究者なら「please forgive me」というメールを送れと書かれたエラー画面が出てきた
大変屈辱的だったがその通りにしてやった
実際に5分程度でXSS見つけたんで許してね(スマイル) とか書いた。
その後、CTOとメールのやりとりが数回、色々アドバイス
UserAgent文字列でJSONに任意データ埋め込み + JSONのcontent-typeがtext/htmlで、XSS可能だった
jsに変数埋め込むタイプのXSSがいくつか
PayPalで$500もらった。
Facebook
外部サイト埋め込み用パーツで、埋め込み先のドメインでXSSが可能になる問題があった
限定されたケース、gizmodo.jpが影響を受けていた
1日ぐらいで直ったんだけど特に告知などはされず、Facebookのjsはgithubでソースが公開されているのだが実際に使われているのと異なる。
Skype
beta testerプログラムというのがあってバグ発見するとなんかくれるらしい。
しかし今のところ何ももらってない
Skype for Macの脆弱性(ただし先に報告したセキュリティ研究者が多くいた)
skypeのWebサイトのXSS (jQuery + location.hash)
報告しただけだと受け付けてくれなくて、ITSに色々書かされて面倒くさかった。。。
修正自体はすぐに行われたようだが、サイトに修正が反映されるまで4週間ぐらいかかった
store.playstation.com
onclick内に変数埋め込んでいてクリック時にXSS可能
jsの数値参照で任意のパラメータ出力可能
thehackernewsにXSSがさらされていた、ほぼ同じタイミングでXSSを見つける
サイトが一時中止して再開されたが、修正が不完全だったため直ってないとtweet
sony関連会社の下請けの社長がコンタクトを取りたがっていると連絡が来て、詳細を連絡
store.playstation.comが再び停止、全面再開されたがPC向け画面は今でもメンテ中
一行修正して直るような問題
多分問題ないと思って再開して問題が見つかったため面倒くさいことになったのだと思われる
mylohas.net
問い合わせフォームとかソーシャルボタンとか色々
チョコとクッキーおくってきた。
Yahoo知恵袋
他の人が見つけたのを連絡するのが面倒くさそうだったので取次
「今日は開発者が全員帰宅しており、リモートアクセスの許可が開発メンバーにはおりていないため対応できません。明日フロントエンドエンジニアと連携して対応をはじめます」
「カスタマー問い合わせフォームから取得していないメールアドレスへの応答は個人情報保護の観点からできない。弊社としてお二人に「ありがとうございます。承りました」と一言送り返すため再度フォームからXSSを報告して欲しい」
yahoo.co.jpの社風がわかる事例
IPAか問い合わせフォームで送ってくれるとスムーズとのこと。