search
LoginSignup
6

More than 5 years have passed since last update.

posted at

livedoor Blogの脆弱性ではなかった話

脆弱性"&'<<>\ Advent Calendar 2015 11日目の記事です。

livedoor Blogのブログ記事は「HTMLタグ編集」でスクリプトを書くことができる。例えば、<script>alert(location)</script>と書けばalertが出るし、<script>location.href="calculator:"</script>と書けば電卓が起動する

ChromeでもIEでも電卓が立ち上がった。

これが脆弱性になるかというと、そんなことはない。livedoor Blogはユーザー別にサブドメインを作るようになっていて、livedoorのその他のサイトとは別になっているから。kusano-k.blog.jpでいくらスクリプトを動かしても、livedoor.comのセッション情報を盗んだりすることはできない。

ここで、livedoor Blogの設定画面を見てみると、サブドメインを使用する以外に、標準設定としてblog.livedoor.jpを選択することができた。さらに、標準設定を使用した場合でも、記事中のスクリプトがそのまま動いたので、脆弱性として報告した。

そして、脆弱性ではないという返信があった。良く見ると、livedoorのサイトは、livedoor .com で、ブログの標準設定のURLは、blog.livedoor .jp だった。申し訳ありませんでした。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
6