2016年2月10日水曜日

Cybozu Liveの脆弱性ではない話

今回は、サイボウズさんに報告するも、ユーザーを誘導して複数回の操作をさせる必要がある為に脆弱性と認められなかった挙動を紹介したいと思います。

その挙動は以下です。

http://www.slideshare.net/masatokinugawa/ss-51723687#43

ずばり、https://cybozulive.com/common/transactionTokenJsonDirectにアクセスするとCSRFトークンがダウンロードできるというものです。さて、普通はこのトークンをどうスクリプトで取得するかを考えるわけですが、そんなの面倒臭いのでこの挙動をそのまま使います。

PoC
http://shhnjk.host56.com/token.html

今回はIDEA BOXにHackedというアイディアを載せるPoCなので、PoCを確認したい人でIDEA BOXのニックネームを持ってない人は以下で作っておきましょう。

https://cybozulive.com/ideabox/nicknameAdd

PoCの解説ですが本当に単純で、File APIを使ってアップロードされたファイルからトークンを抜き出し、フォームの中にトークンを入れてPOSTしているだけです。しかし、普通にPOSTするとCybozu Liveに飛んでしまい、ハックがバレてしまうので、同じページ上にあるiframeをTargetにしてPOSTしてます。

この挙動を使うとCybozu Liveアカウントを乗っ取ることも可能ですが、今回は割愛します。

という訳で、誘導の類が加わると脆弱性とは認めて貰えませんよという話でした~。(短ッ!)

ではでは。