twitterにあったSelf XSS

昨年(2015年)からtwitterに導入された投票機能ですが、入力した文字列がすぐにHTMLとして評価されているのか、Self XSSができてしまう脆弱性があり、投票機能の選択肢に<img oneror=alert(location.host) src=.>などと入力するとimgタグが生成されていました。

Google ChromeなどではXSSはCSPでブロックされましたが、IEでは動作しました。

f:id:ooooooo_q:20161231211412p:plain

Modern.IEで動いた画面です。imgタグのonerrorでalertが出ています。

hackeroneを通して報告したのですがduplicateであり、数カ月後にようやく修正されたことが公開されました 。*1

hackerone.com

入力した文字列が即評価されてSelf XSSになるのも珍しいですが、Self XSS + CSPの組み合わせにより影響度はかなり低い状態でもBountyが払われたのはあまり見ない気がします。

脆弱性&quot;&amp;&#39;&lt;&lt;&gt;\ Advent Calendar 2016 - Adventarの22日目が空いていたので、22+n日目ということで書いてみました。

*1:2016年の1月1日に報告したのですが、年明け(年末?)だというのに数時間で返事が来て驚きました。