Hello there, ('ω')ノ
確認メールのオープンリダイレクトを。
脆弱性:
オープンリダイレクト
記事:
https://inakcf.medium.com/open-redirect-in-email-c658c248eec1
今回は、確認メール内のオープン リダイレクトの脆弱性を発見したことについて。
オープンリダイレクトの脆弱性:
オープン リダイレクトとは、Web アプリケーションまたはサーバが
ユーザが送信した未検証のリンクを使用して、ユーザを特定の
Web サイトまたはページにリダイレクトすることで。
リダイレクト先のページをユーザに決定させるのは無害なアクションのように
見えますが、このような手法が悪用されると、特に他の脆弱性やトリックと
組み合わせた場合、アプリケーションのセキュリティに
重大な影響を与える可能性があって。
発見について:
ターゲットを private.com として。
スコープ内のサブドメイン form.private.com があるので、チェックして。
サブドメイン https://form.private.com には、フィードバック フォーム、
CV/履歴書の送信など、さまざまなフォームがあるため、
フィードバック フォームを選択して。
フォームに移動すると、メールアドレス、クエリなどの
さまざまな詳細が求められ。
すべての詳細を入力した後、Burpsuiteでリクエストを確認しようと考えて。
そこで、以下に示すデータを含む POST リクエストをキャプチャして。
{“submissionUrl”:”https://form.private.com/?k=jsdkjsdkhskdgjgs&d=228735228",”fieldValues”:{“1861396”:”test”:”email@gmail.com”}}
上記のリクエストで何か不審な点は、submissionUrl パラメータで。
本文に http リクエストが含まれているのを見た後、
基本的にSSRF に対して脆弱かどうかを確認して。
ここでは、submissionUrl パラメータを Burp コラボレータのリンクに
置き換えましたが、DNS または HTTP のやり取りは得られず。
しかし、指定したメールアドレスに確認メールが届き。
メールを開くと、フォームに入力したすべての詳細が表示されていて。
このメール内で疑わしい点の 1 つは、以下のスクリーンショットに示すように
「ホームに関するフィードバック」という見出しにハイパーリンクがあることで。
それをクリックすると、Burpのコラボレータのリンクにリダイレクトされ。
ここでフォームに戻り、すべての詳細を入力して。
今回は、Burpのコラボリンクの代わりに submitUrl パラメータで
https://google.com を指定してリクエストを渡して。
今度は自分のメールアドレスに同様のメールが届き。
ただし、今回は見出しをクリックすると google.com にリダイレクトされて。
リンクは以下のようになって。
https://app.private.com/app/xxx/-/log?se=xxxxx&dest=https://google.com&hash=xxxxxxxxxxxxxxxxx
構成ミス:
ここで、submissionUrl パラメータに入力した内容は、
確認メールのリダイレクト URL として反映されて。
Best regards, (^^ゞ