Hello there, ('ω')ノ

 

Confluent での登録解除メールによる IDOR、コンテンツ スプーフィング、および URL リダイレクトを。

 

脆弱性：

　IDOR

　コンテンツスプーフィング

　オープンリダイレクト

 

記事：

　https://medium.com/@justmorpheus/idor-content-spoofing-and-url-redirection-via-unsubscribe-email-in-confluent-1fa7398cfe7a

 

配信を停止しようとメールを調べていたら、confluent からメールが届き。

リンクをコピーすると、サブドメイン https://sdr.confluent.io が見つかり。

id パラメータを変更すると、任意のユーザが Confluent メールの購読を

解除できるとともに、コンテンツのなりすましが許可され、

購読解除時に送信した後にホームページにリダイレクトされるようになり。

URLをホームページから任意のWebサイトに変更して。

背景：

コンテンツ スプーフィングは、コンテンツ インジェクション、

「任意のテキスト インジェクション」、または仮想改ざんとも呼ばれ、

Web アプリケーションのインジェクションの脆弱性によって可能になる、

ユーザをターゲットとした攻撃で。

 

オープン リダイレクトは無効化されたリダイレクトであり、

Web アプリケーションが信頼できない入力を受け入れると、

Web アプリケーションが信頼できない入力に含まれる URL にリクエストを

リダイレクトする可能性があり転送が可能になって。

 

安全でない直接オブジェクト参照とは、内部実装オブジェクトへの参照が

適切なアクセス制御設定なしでユーザに公開されることを指して。

購読解除リンク：

https://sdr.confluent.io/api/mailings/1xxxx7/unsubscribe_html?id=1xxxx7&message=ALERT:%20THERE%20HAD%20BEEN%20A%20MASSIVE%20BREACH%20AT%20OUR%20DATA%20CENTER.%20KINDLY%20UNSUBSCRIBE%20AND%20RE-REGISTER%20AT%20https://xxx.org&org=03cc2586-0cbc-479a-a28c-25882d14226f&sig=tzKGVFwyxtfzk1KYmkZHOHWFWd4S7Bjnt-qePZ6RlmQ%3D&unsubscribe_redirect_url=https%3A%2F%2Fwww.openbugbounty.org

 

コンテンツ スプーフィング、URL リダイレクト、idor に対して脆弱で。

 

脆弱なパラメータ：
id= xxxxxx
message= xxxxxx
unsubscribe_redirect_url= https://examplexxx.com

コンテンツ_スプーフィング

POC：

１．URLをクリックして。

２．パラメータ &message=ALERT &unsubscribe_redirect_url=https://xxx.org を

　追加して。

３．「購読解除」をクリックして。

４．www.xxx.org にリダイレクトされて。

 

フィッシング攻撃に悪用される可能性があり。

インパクト：

悪意のあるユーザは、ID パラメータをブルートフォースするだけで、

電子メールを購読している人を購読解除でき。

また、これを使用してメッセージを偽装し、購読解除をクリックすると

悪意のある Web サイトにリダイレクトされる可能性があって。

解決：

単純なビジネスロジックのエラーだったので。

そのため、ID とメッセージ フィールドを提供し、

外部から入力できないように署名に置き換えて。

 

メールは管理サービスの下にあり、Confluent の直接の管轄下ではないため、

この問題はサードパーティの問題でしたが、問題を担当する組織は、

問題が修復され、修正が実装されたことを確認して。

 

参照：

https://hackerone.com/reports/201314
https://hackerone.com/reports/230328

 

Best regards, (^^ゞ