LoginSignup
1
1

More than 5 years have passed since last update.

@cos65535

Ustreamで見つけた脆弱性

Posted at

この記事は脆弱性"&'<<>\ Advent Calendar 2014 22日目の記事です。

Ustreamで自分でupした動画のダウンロードするためのスクリプトを書いてる最中に、(プライベート・完全非公開とか書いてある)非公開ビデオが誰にでもダウンロードできる事を見つけました。

通常の視聴ページは
http://www.ustream.tv/recorded/28790197
のようなURLで非公開ビデオは「この動画は一般公開されていません。」という風な事を言われて見れませんでしたが、ダウンロード用のURLの
http://tcdn.ustream.tv/video/28790197
からは未ログイン状態でもダウンロード可能できるという認証回避の脆弱性です。

後から仕様を変更するのが難しいので直らないだろうなあと予想していたのですが、報告して10ヶ月くらい経ってビデオの保存期間の仕様変更時に一緒に修正されたようです。
修正後は
http://upmv10-ntt-upmv.ustream.tv/0/1/56/56781/56781786/1_10474820_56781786.flv?e=1419861245&h=7d19cc6b5d3eb93fcc4b9573969da51f&tracking=92359d_0_1_0_0&peer=DE-CIX
みたいなURLになっておりhのトークンが一致しないとダウンロード出来なくなりました。

という訳でCDNを使う時は認証周りに注意しましょうという話でした。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1