Hello there, ('ω')ノ
リンクパラメータを使用して見つかったオープンリダイレクトの脆弱性を。
脆弱性:
オープンリダイレクト
記事:
今回は、Bugcrowdのプログラムにおけるオープンリダイレクトの脆弱性に関する。
最近の興味深い発見を紹介することに。
ターゲットのウェブサイトは、redact.comで。
ログインページには、下記が含まれていて。
https://redact.com/login?redirect=https://anysubdomain.redact.com
これは、ユーザがログインするとすぐに下記へ移動することを意味して。
https://anysubdomain.redact.com
ここで、「anysubdomain」は、https://redact.comのサブドメインで。
アプリケーションは、リダイレクトURLの最後に。
「redact.com」があることを確認して、特定のWebサイトを読み込もうとして。
有効で機能しているサブドメインの場合だと。
それぞれのウェブサイトが読み込まれて。
一方、下記のような無効なサブドメインの場合だと。
そのウェブサイトを読み込もうとすると、エラーメッセージが表示されて。
オープンリダイレクトのために、いくつかのクールな回避策を試すのに。
下記のさまざまなサブドメインを探し始すことに。
しばらくして、下記ようなアドレスを指しているリンクを見つけて。
幸い、https://redact.comの環境ではリンクが無効だったので。
それに焦点を当てて調査を開始すると。
すぐに、「link」とも呼ばれるパラメータが添付されているのを見つけたので。
このパラメータは、自分の指定したhttps://mysite.comにリダイレクトして。
https://link.redact.com?link=https://mysite.com
しかし、https://link.redact.comはスコープの範囲外なので。
https://redact.com/loginで使用することに。
したがって、オープンリダイレクトのペイロードを含むURLは下記のとおりで。
https://redact.com/login?redirect=https://link.redact.com?link=https://mysite.com
すると、すでにログインしているユーザをhttps://mysite.comに誘導して。
まだログインしていないユーザに表示された場合は。
最初にユーザにアプリケーションのログイン画面が表示されて。
ログインしている場合は、https://mysite.comに移動して。
影響は明らかでログインしたユーザは、資格情報などの機密情報を盗むために。
フィッシングWebページに移動する可能性があって。
Best regards, (^^ゞ
