チームラボのWebサイト
2018年10月にあったXSS。
スクショなどは取り忘れてた。現在は修正済。
Not Foundページ
Not Foundページで、URLの値をエスケープ無しでDOMに反映していた。
以下のようなURLでXSSができた
検索ボックス
検索ボックスで、入力した値をエスケープ無しでDOMに反映していた部分があった。
以下のような制限がありJavaScriptを実行することはできなかった。
- <...> (任意のHTMLタグ)
- タグを閉じたら無効だった。半開きのタグはセーフ
- 例えば、
<img ~ > ~は無効。<img ~はセーフ。
- javascript: ~
- onmouseover=などイベントハンドラ
-
<iframe、<metaなど一部の半開きなHTMLタグ
しかし、以下のようなことはできた。
リダイレクト
以下のようなURLで、(おおよそ)任意のページにリダイレクトすることができた。ここではGoogle。
画像などの挿入
画像の挿入。ここではGoogleのロゴ。
- [https://www.teamlab.art/jp/?submit=">
<img src="https://www.google.co.jp/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png"width="100%")
動画の挿入。DMMのサンプル動画が全画面表示で自動再生される。
- [https://www.teamlab.art/jp/?submit="><video src="http://cc3001.dmm.co.jp/litevideo/freepv/m/mid/mide00589/mide00589_sm_w.mp4"width="100%"autoplay)
チームラボが制作したWebサイト
チームラボの制作事例に載っているWebサイトのうち、5つにXSSかCSRFがあった。
全部報告はしてある(2018年10月27日)。
いずれ書く。
感想
XSSを発見した当時チームラボのバイトの面接を受けてたが、普通に落ちた。
残念。