livedoor Blogの脆弱性ではなかった話

  • 6
    いいね
  • 0
    コメント
この記事は最終更新日から1年以上が経過しています。

脆弱性"&'<<>\ Advent Calendar 2015 11日目の記事です。

livedoor Blogのブログ記事は「HTMLタグ編集」でスクリプトを書くことができる。例えば、<script>alert(location)</script>と書けばalertが出るし、<script>location.href="calculator:"</script>と書けば電卓が起動する

ChromeでもIEでも電卓が立ち上がった。

これが脆弱性になるかというと、そんなことはない。livedoor Blogはユーザー別にサブドメインを作るようになっていて、livedoorのその他のサイトとは別になっているから。kusano-k.blog.jpでいくらスクリプトを動かしても、livedoor.comのセッション情報を盗んだりすることはできない。

ここで、livedoor Blogの設定画面を見てみると、サブドメインを使用する以外に、標準設定としてblog.livedoor.jpを選択することができた。さらに、標準設定を使用した場合でも、記事中のスクリプトがそのまま動いたので、脆弱性として報告した。

そして、脆弱性ではないという返信があった。良く見ると、livedoorのサイトは、livedoor .com で、ブログの標準設定のURLは、blog.livedoor .jp だった。申し訳ありませんでした。