link

• 2005-08-08::Hotmailの受信ボックス一覧が他者に漏洩する脆弱性（解決済み）

第三者に容易に推測可能なURLをもつJSの配信

公開したくないデータを配信するために第三者に容易に推測可能なURLをもつJSを提供するパターンには問題点があるケースもあります。
かつて、海外の研究者によってマルチサイトなサインインを使ったケースで具体的にみつけられたのでした。サイトAでサインインしたメンバーに対してのみサイトBから固定URLでJSデータを提供したい、このときに、そのJSデータには以下のような仕掛けをすると破られる可能性があるということです。

if (location.host == "サイトBのホスト" || location.host == "サイトAのホスト" || ...) {

そのためには、罠のページに誘導しておいて、その罠のページのlocation.hostを偽装してやればよい、という発想。

Marioによるexploit

<form id="location" host="my.msn.com" ></form>

<script>

alert(location.host); // my.msn.com

</script>

上記でlocation.hostの偽装ができることでしょう。ただし、IE6,IE7での非標準な実装に依拠しています。これはバグではなく意図した仕様ですので、安心して使えます【謎】
上記を埋め込む場所は攻撃者が作る罠のページなので、IE8のユーザに対しても、IE7モードのHTMLを作成してさしあげればよいです。locaton.hostを捏造してから、固定URLでもって秘密のデータJSをアクセスすれば、データ提供側の仕組みであるlocatio.host限定による漏洩防御が無効化されるというお話になります。
なお、くだんのHOTMAILは、現在、固定URLでのデータ配信をしていませんので、試しても無駄だと思われます。また、サードパーティのcookieをブロックするIEの機構が働いていればcookieで認証されているユーザのみにデータ配信をする仕組みをとるはずですので、罠のページからの固定URLのJSのアクセスができません。
いずれにせよ、JSでデータ配信をする際に、location.hostやdocument.domainで制限をかけることはやってはいけないことですね。そのようなわけですので、変なサイトをみつけたら、世の平和のためにも是非IPAのほうに報告してあげてくださいませ。

marioの方法ならば、偽のlocation.hostを見破るのに、location.ownerDocumentの存在を調べればよいかもしれませんが、確実な方法ではないかもしれませんね。

遊び

ちなみにmarioの方法をちょっと拡張すれば、
locaton.replace('foo')と書くとalert('foo')となるようにもできます。

<form id="location" replace="initialValue" ></form>

上のようなものを用意します。【謎】のreplace属性には、string型だけを属性値をしてセット可能なように見えますが、setAttributeメソッドを使うと、functionをセットすることができます。お試しください。

location.setAttribute("replace", function(x){alert(x)});

location.replace('Wow'); // alert('Wow')

同様にdocument.cookieやdocument.domainなどでもいろいろ遊べます。ただし、同一ドメイン制限ポリシーをかいくぐることは、私の知る限りではできません。XHRなど。