脆弱性"&'<<>\ Advent Calendar 2015 11日目の記事です。
livedoor Blogのブログ記事は「HTMLタグ編集」でスクリプトを書くことができる。例えば、<script>alert(location)</script>と書けばalertが出るし、<script>location.href="calculator:"</script>と書けば電卓が起動する。
ちなみに location.href="calculator:"; でEdgeから電卓たちあがるので、XSS見つけるだけでこれからは電卓立ち上げられますね!
— Yosuke HASEGAWA (@hasegawayosuke) 2015, 8月 26
ChromeでもIEでも電卓が立ち上がった。
これが脆弱性になるかというと、そんなことはない。livedoor Blogはユーザー別にサブドメインを作るようになっていて、livedoorのその他のサイトとは別になっているから。kusano-k.blog.jpでいくらスクリプトを動かしても、livedoor.comのセッション情報を盗んだりすることはできない。
ここで、livedoor Blogの設定画面を見てみると、サブドメインを使用する以外に、標準設定としてblog.livedoor.jpを選択することができた。さらに、標準設定を使用した場合でも、記事中のスクリプトがそのまま動いたので、脆弱性として報告した。
そして、脆弱性ではないという返信があった。良く見ると、livedoorのサイトは、livedoor .com で、ブログの標準設定のURLは、blog.livedoor .jp だった。申し訳ありませんでした。