Hello there, ('ω')ノ
確認メールでのオープンリダイレクトを。
脆弱性:
オープンリダイレクト
記事:
https://systemweakness.com/open-redirect-in-email-c658c248eec1
オープンリダイレクトの脆弱性:
オープンリダイレクトとは、Webアプリケーションまたはサーバーが。
ユーザが送信した未検証のリンクを使用して。
ユーザを特定のWebサイトまたはページにリダイレクトすることで。
リダイレクトするページをユーザに決定させるのは無害なアクションのように見えて。
しかし、このような手法が悪用された場合、特に他の脆弱性や。
トリックと組み合わせると、アプリケーションのセキュリティに。
深刻な影響を与える可能性があって。
発見について:
範囲が限られているバグクラウドでプライベート招待を受け取って。
ターゲットをprivate.comとすると。
範囲内のサブドメインform.private.comがあったのでチェックすることに。
サブドメインhttps://form.private.comには、フィードバックフォームや。
履歴書の送信/履歴書などのさまざまなフォームがあるため。
フィードバックフォームを選択して。
フォームに移動した後、メールアドレスやクエリなどの。
さまざまな詳細を尋ねられて。
すべての詳細を入力した後、Burp Suiteでリクエストを確認しようと思ったので。
以下に示す次のデータを持つPOSTリクエストをキャプチャして。
{“submissionUrl”:”https://form.private.com/?k=jsdkjsdkhskdgjgs&d=228735228",”fieldValues”:{“1861396”:”test”:”email@gmail.com”}}
上記のリクエストで疑わしい点はsubmissionUrlパラメータで。
本文でhttpリクエストを見た後、基本的にSSRFに対して脆弱かどうかを確認して。
ここでは、submissionUrlパラメータをBurpコラボレータリンクに置き換えてみると。
DNSまたはHTTPの相互作用は得られず。
しかし、指定したメールアドレスには確認メールが届いたのでメールを開いて。
フォームに入力したすべての詳細が表示されて。
その電子メールの中で疑わしいと思われることの1つは。
以下のスクリーンショットに示すように。
[Feedback on Home]という見出しにハイパーリンクがあることで。
それをクリックすると、Burpコラボレータのリンクにリダイレクトされて。
するとフォームに戻り、すべての詳細を記入して。
今回は、Burpのコラボリンクの代わりにsubmissionUrlパラメータを使用して。
https://google.comを指定し、リクエストを渡して。
すると自分のメールアドレスと同じようなメールを受け取って。
今回は見出しをクリックすると、google.comにリダイレクトされて。
リンクは以下のようになって。
https://app.private.com/app/xxx/-/log?se=xxxxx&dest=https://google.com&hash=xxxxxxxxxxxxxxxxx
設定ミス:
ここで、submissionUrlパラメータに入力した内容は.
確認メールにリダイレクトURLとして反映されていて。
Best regards, (^^ゞ
