私はいかにして脆弱性を発見したか

id:hasegawayosukeさんとこに、私はいかにして様々なブラウザの脆弱性を発見したかってあったので、真似してみた。

基本、「こうあるべき」、「こうなってるはず」を理解したうえで、「挙動がおかしい」とか、「こうあるべきだけど、実際作ること考えたら難しい or 無理」ってのを調べてる感じでしょうか。

まあ、要するに、てきとーです。

マルチバイトを使ったXSS

テキストフィールドに入れた「%E3%81%82」とかをデコードする簡単なWebアプリ作って、作業してた時にコピペミスした。
そしたら、半端なマルチバイトの状態になってレイアウトが崩れたので、この崩れ方はあり得んって思って調べたらXSSできた。

Apacheのエラー画面(?)上でのXSS(今でも健在かな)

書き方違反したらどうなるんだろ?って思って書いたらXSSが動作した。
けど、IPAに報告したら書き方違反してるんだからその出力をする方が問題、ってことで却下された。
Webアプリの出力+ブラウザの処理方法(FireFoxのみで発動)+Apacheのエラー画面(?)の仕様、の3つが合わさる話なので、3つともの挙動を把握しておく必要はあり。これ面白いんだけどな〜。

CVE-2007-6245:Flash Player において任意の HTTP ヘッダが送信可能な脆弱性

前に同じような問題があったから、きっと対策が中途半端だろうと思っていろいろやったらできた。

CVE-2007-6243:Flash Player におけるクロスドメインポリシーファイルの扱いに関する脆弱性

Webサーバとクライアントとの間でURL等の解釈が異なるのは常なので(というか、クライアント側でサーバ側の解釈を網羅するのは大変なので)、異なる解釈をするパターンを入れたらいけた。

ただ、許可設定をさせたいので、ブログなど許可設定を書ける場所のを読めるといいなと思ったので、XMLじゃないのでもいけんじゃね?ってやってみたら、HTMLの途中に書いてもいけた。

レスポンスを細工するとこで、以降Webサーバにアクセスをしても常にエラーになる感じのブラウザの汚染

Webサーバとクライアントの間で解釈が異なるのは常なので〜。
ブラウザに一回細工が通ると以降常にエラー画面に。青モップ全盛期の時はやりたい放題だったはずだけど、まあ、多分知られてなかったのもあり、被害とかはないでしょうね。
IPAに報告したけど、仕様なので〜的な。これも面白いと思うんだけどなー。

複数ユーザ間で同じ認証情報を送信してしまうブラウザ

そんなのが他でもあったので、どうせ同じだろうと思って見てみたら、やっぱ同じというかそれよりダメな感じだった。

IPAに報告したけど、サーバ側で対処すべきで却下された。
実際に、このブラウザが広く使われ始めたら影響大きいと思うのですが、影響があるかないかは関係ないみたいな感じでした。
ここら辺で、IPAに報告してもどうなの?って思い始めた。影響大きい脆弱性とかも何年か放置状態だし。

Androidでの制約回避

複数のアプリ作って違うものを複数検証してる時に、制約のとこ見てて、これが動かないのにさっきのはなんで動いてたんだ?って思って見てみたら、制約回避できた。
Googleに報告するも別の脆弱性といっしょくたにされてうやむやに。
後でソースコードとかちゃんとみたら、なるべくしてなってるしこれはこれで個別に対応しないと無理な挙動だよね、って感じなのでどうしたものか。
挙動としてちょっと難しめだし、幅広めな知識がないと見つけられなさそうなとこだから、ほっといても大丈夫かな?
見る限り、XX months agoって書いてあるから手入れてないだろうし。

                                    • -

変わったところだと、このくらいだっけ?IPAで止まってるやつは書いたら駄目だろうし。意外と少ない気もするな。
最近は報告してもあれだしちょっと飽きてきたので、変な挙動見つけても確認するだけしてまあいいかなで過ごしてます。