Hello there, ('ω')ノ

 

確認メールのオープンリダイレクトを。

 

脆弱性：

　オープンリダイレクト

 

記事：

　https://inakcf.medium.com/open-redirect-in-email-c658c248eec1

 

今回は、確認メール内のオープン リダイレクトの脆弱性を発見したことについて。

 

オープンリダイレクトの脆弱性：

オープン リダイレクトとは、Web アプリケーションまたはサーバが

ユーザが送信した未検証のリンクを使用して、ユーザを特定の

Web サイトまたはページにリダイレクトすることで。

リダイレクト先のページをユーザに決定させるのは無害なアクションのように

見えますが、このような手法が悪用されると、特に他の脆弱性やトリックと

組み合わせた場合、アプリケーションのセキュリティに

重大な影響を与える可能性があって。

 

発見について：

ターゲットを private.com として。

スコープ内のサブドメイン form.private.com があるので、チェックして。

サブドメイン https://form.private.com には、フィードバック フォーム、

CV/履歴書の送信など、さまざまなフォームがあるため、

フィードバック フォームを選択して。

 

フォームに移動すると、メールアドレス、クエリなどの

さまざまな詳細が求められ。

すべての詳細を入力した後、Burpsuiteでリクエストを確認しようと考えて。

そこで、以下に示すデータを含む POST リクエストをキャプチャして。

 

{“submissionUrl”:”https://form.private.com/?k=jsdkjsdkhskdgjgs&d=228735228",”fieldValues”:{“1861396”:”test”:”email@gmail.com”}}

 

 

上記のリクエストで何か不審な点は、submissionUrl パラメータで。

本文に http リクエストが含まれているのを見た後、

基本的にSSRF に対して脆弱かどうかを確認して。

 

ここでは、submissionUrl パラメータを Burp コラボレータのリンクに

置き換えましたが、DNS または HTTP のやり取りは得られず。

 しかし、指定したメールアドレスに確認メールが届き。

メールを開くと、フォームに入力したすべての詳細が表示されていて。

 

このメール内で疑わしい点の 1 つは、以下のスクリーンショットに示すように

「ホームに関するフィードバック」という見出しにハイパーリンクがあることで。

 

 

それをクリックすると、Burpのコラボレータのリンクにリダイレクトされ。

ここでフォームに戻り、すべての詳細を入力して。

今回は、Burpのコラボリンクの代わりに submitUrl パラメータで

https://google.com を指定してリクエストを渡して。

 

今度は自分のメールアドレスに同様のメールが届き。

ただし、今回は見出しをクリックすると google.com にリダイレクトされて。

リンクは以下のようになって。

 

https://app.private.com/app/xxx/-/log?se=xxxxx&dest=https://google.com&hash=xxxxxxxxxxxxxxxxx

 

構成ミス：

ここで、submissionUrl パラメータに入力した内容は、

確認メールのリダイレクト URL として反映されて。

 

Best regards, (^^ゞ