Hello there, ('ω')ノ

 

確認メールでのオープンリダイレクトを。

 

脆弱性：

　オープンリダイレクト

 

記事：

　https://systemweakness.com/open-redirect-in-email-c658c248eec1

 

オープンリダイレクトの脆弱性：

オープンリダイレクトとは、Webアプリケーションまたはサーバーが。

ユーザが送信した未検証のリンクを使用して。

ユーザを特定のWebサイトまたはページにリダイレクトすることで。

リダイレクトするページをユーザに決定させるのは無害なアクションのように見えて。

しかし、このような手法が悪用された場合、特に他の脆弱性や。

トリックと組み合わせると、アプリケーションのセキュリティに。

深刻な影響を与える可能性があって。

 

発見について：

範囲が限られているバグクラウドでプライベート招待を受け取って。

ターゲットをprivate.comとすると。

範囲内のサブドメインform.private.comがあったのでチェックすることに。

サブドメインhttps://form.private.comには、フィードバックフォームや。

履歴書の送信／履歴書などのさまざまなフォームがあるため。

フィードバックフォームを選択して。

フォームに移動した後、メールアドレスやクエリなどの。

さまざまな詳細を尋ねられて。

すべての詳細を入力した後、Burp Suiteでリクエストを確認しようと思ったので。

以下に示す次のデータを持つPOSTリクエストをキャプチャして。

 

{“submissionUrl”:”https://form.private.com/?k=jsdkjsdkhskdgjgs&d=228735228",”fieldValues”:{“1861396”:”test”:”email@gmail.com”}}

 

 

上記のリクエストで疑わしい点はsubmissionUrlパラメータで。

本文でhttpリクエストを見た後、基本的にSSRFに対して脆弱かどうかを確認して。

 

ここでは、submissionUrlパラメータをBurpコラボレータリンクに置き換えてみると。

DNSまたはHTTPの相互作用は得られず。

しかし、指定したメールアドレスには確認メールが届いたのでメールを開いて。

フォームに入力したすべての詳細が表示されて。

その電子メールの中で疑わしいと思われることの１つは。

以下のスクリーンショットに示すように。

[Feedback on Home]という見出しにハイパーリンクがあることで。

 

 

それをクリックすると、Burpコラボレータのリンクにリダイレクトされて。

するとフォームに戻り、すべての詳細を記入して。

今回は、Burpのコラボリンクの代わりにsubmissionUrlパラメータを使用して。

https://google.comを指定し、リクエストを渡して。

 

すると自分のメールアドレスと同じようなメールを受け取って。

今回は見出しをクリックすると、google.comにリダイレクトされて。

リンクは以下のようになって。

 

https://app.private.com/app/xxx/-/log?se=xxxxx&dest=https://google.com&hash=xxxxxxxxxxxxxxxxx

 

設定ミス：

ここで、submissionUrlパラメータに入力した内容は.

確認メールにリダイレクトURLとして反映されていて。

 

Best regards, (^^ゞ