HackerOneレポート確認[929633:Open Redirect on [blog.wavecell.com]]
以下のHackerOneレポートを読みました。
カテゴリ:Open Redirect
8x8という音声通話、ビデオ通話、チャットといったビジネスで必要なコミュニケーションがまとめられたサービスのようです。
今回の脆弱性は、特定のドメイン上でのリダイレクト機能でした。
/が2つ出てくるパターンにおいて、/に置き換えられてしまうという状態だったようです。
公開されている情報も少ないので、ここから先はただ試行錯誤した結果を載せるだけになってしまいますが・・・。
このサイトでは例えば以下のURLを入力すると、301でリダイレクトされます。
GET https://wavecell.com/r HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: ja,en-US;q=0.7,en;q=0.3
Connection: keep-alive
Cookie: XXX
Upgrade-Insecure-Requests: 1
Host: wavecell.com
レスポンスは以下のように返ります。
HTTP/1.1 301 Moved Permanently
Connection: keep-alive
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Cache-Control: max-age=3600
X-Redirect-By: WordPress
Location: https://wavecell.com/event/retail-asia-expo-13-15-june-2017/
X-XSS-Protection: 1
X-Content-Type-Options: nosniff
Referrer-Policy: no-referrer-when-downgrade
X-FW-Server: Flywheel/5.1.0
X-FW-Dynamic: TRUE
X-FW-Hash: u304f6jds1
strict-transport-security: max-age=60; includeSubDomains
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Referrer-Policy: origin-when-cross-origin
Content-Security-Policy: frame-ancestors 'none'
X-FW-Version: 5.0.0
Server: Flywheel/5.1.0
Accept-Ranges: bytes
Date: Tue, 27 Oct 2020 14:07:02 GMT
X-Served-By: cache-tyo19939-TYO
X-Cache: HIT
X-Cache-Hits: 1
X-Timer: S1603807622.102367,VS0,VE1
X-FW-Serve: TRUE
X-FW-Static: NO
X-FW-Type: VISIT
また、試しにサイトのURLを以下のようにしてみました。
GET https://wavecell.com/////example.com HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: ja,en-US;q=0.7,en;q=0.3
Connection: keep-alive
Cookie: XXXXX
Upgrade-Insecure-Requests: 1
Host: wavecell.com
すると、以下のように////がまとめて/となって返ってきました。
HTTP/1.1 301 Moved Permanently
Connection: keep-alive
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Cache-Control: max-age=3600
X-Redirect-By: WordPress
Location: https://wavecell.com/example.com
X-XSS-Protection: 1
X-Content-Type-Options: nosniff
Referrer-Policy: no-referrer-when-downgrade
X-FW-Server: Flywheel/5.1.0
X-FW-Dynamic: TRUE
X-FW-Hash: u304f6jds1
strict-transport-security: max-age=60; includeSubDomains
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Referrer-Policy: origin-when-cross-origin
Content-Security-Policy: frame-ancestors 'none'
X-FW-Version: 5.0.0
Server: Flywheel/5.1.0
Accept-Ranges: bytes
Date: Tue, 27 Oct 2020 14:13:40 GMT
X-Served-By: cache-tyo19950-TYO
X-Cache: MISS
X-Cache-Hits: 0
X-Timer: S1603808020.392108,VS0,VE583
X-FW-Serve: TRUE
X-FW-Static: NO
X-FW-Type: VISIT
本レポートに対する対策がこれなのかな?と考えてます。
ということは、他のサイトでも//////といった形でURLを作って試してみる価値がある?
ちょっと頭の片隅に入れておきます。
また、
このサイトはすべてのドメインがバウンティ対象外なので、
競争相手が少ないのでは?と考えてます。
色々試してみたいと思います。
以上。