チームラボにあったXSS

チームラボのWebサイト

• https://www.team-lab.com/
• https://www.teamlab.art/jp/

2018年10月にあったXSS。
スクショなどは取り忘れてた。現在は修正済。

Not Foundページ

Not Foundページで、URLの値をエスケープ無しでDOMに反映していた。
以下のようなURLでXSSができた

• https://www.team-lab.com/"><script>alert(1)</script>

検索ボックス

検索ボックスで、入力した値をエスケープ無しでDOMに反映していた部分があった。
以下のような制限がありJavaScriptを実行することはできなかった。

• <...> (任意のHTMLタグ)
  • タグを閉じたら無効だった。半開きのタグはセーフ
  • 例えば、<img ~ > ~は無効。<img ~はセーフ。
• javascript: ~
• onmouseover=などイベントハンドラ
• <iframe、<metaなど一部の半開きなHTMLタグ

しかし、以下のようなことはできた。

リダイレクト

以下のようなURLで、(おおよそ)任意のページにリダイレクトすることができた。ここではGoogle。

• https://www.teamlab.art/jp/?submit=1;URL=https://www.google.com"http-equiv="refresh"

画像などの挿入

画像の挿入。ここではGoogleのロゴ。

• https://www.teamlab.art/jp/?submit="><img src="https://www.google.co.jp/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png"width="100%"

動画の挿入。DMMのサンプル動画が全画面表示で自動再生される。

• https://www.teamlab.art/jp/?submit="><video src="http://cc3001.dmm.co.jp/litevideo/freepv/m/mid/mide00589/mide00589_sm_w.mp4"width="100%"autoplay

チームラボが制作したWebサイト

チームラボの制作事例に載っているWebサイトのうち、5つにXSSかCSRFがあった。
全部報告はしてある(2018年10月27日)。
いずれ書く。

感想

XSSを発見した当時チームラボのバイトの面接を受けてたが、普通に落ちた。
残念。