nohanaのパスワードリマインダーのXSS

• 2013/10/02 報告
• 2014/02/14 修正完了
• 2014/03/25 報酬支払い対象外との連絡(´･ω･｀)

http://nohana.parseapp.com/password_reminder/user_management.htmlにアクセスすると、

Right click here to save this page. Upload it to your own website and paste the URL in the "Parse Frame URL" app settings at Parse.com.

と表示され、hereの部分がJavaScriptでwindow.locationへのリンクになっていた。

http://nohana.parseapp.com/password_reminder/user_management.html#"><img src="x" onerror="alert(document.location)"><a href="

で、アラートが表示された。

mixi for Google Chrome extensionのXSS

• 2013/10/10 報告
• 2014/02/12 修正完了
• 2014/03/25 報酬支払い対象外との連絡(´･ω･｀)

mixi for Google Chrome extensionの通知を表示するHTMLがlocation.searchの内容をエスケープせずに書き出していた。

chrome-extension://dakhkopjacplahiabkhacgpmonpkhcgh/notification.html?data=%7B%22type%22:%22comment%22,%22count%22:%22%3Cmarquee%3Etest%3C/marquee%3E%22%7D

にアクセスするとmarqueeタグで文字が流れる。Manifest v2でCSPが有効だったのでスクリプトは動かせなかった。

LivlisのサポートページのXSS

• 2013/12/20 報告
• 2014/01/23 報酬支払い対象外との連絡(´･ω･｀)

LivlisのサポートページのWordPressのバージョンが古くてXSS可能だった。

http://docs.livlis.com/wp-includes/js/plupload/plupload.flash.swf?id=\%22));}catch(e){alert(1);}//

ユーザーのCookieの奪取とかはできなくても、*.livlis.com内に「移転します。今後はこちらのサイトからログインしてください」とか表示させられたら危険だと思うけど……騙される人はいないか。

STUDYPLUSのXSS

• 2014/02/02 報告
• 2014/02/03 制度の対象外との連絡
• 2014/02/04 確認したら修正されていた

STUDYPLUSの教材名の部分（↓）のエスケープが漏れていた。

<img src=x onerror=alert(location)>

というタイトルで教材を追加するとアラートが表示された。この怪しげなタイトルの教材を本棚に追加してくれれば、他人のブラウザ上でもスクリプトが動く。
mixiはスタディプラス株式会社の株式を持ってはいるものの、子会社ではなかったらしい。ごめんなさい。報告はスタディプラス株式会社に転送してくれた。

mixiギフトのアクセス制御不備

• 2014/02/03 報告
• 2014/02/12 修正完了
• 2014/03/24 240,000円のAmazonギフトが届いた

mixiギフトで、送信相手とかメッセージとかを入力していって、

http://mixi.jp/gift_select_payment.pl?postkey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&birthday=0&card_id=yyyy

というURLになったところで、yyyyの部分を書き換えると、他人が送ったギフトカードの内容が表示された。