cheeers! のオープンリダイレクタ脆弱性が修正された

クラウドファンディングサイトcheeers!にはオープンリダイレクタ脆弱性がありましたが、サイト運営者に連絡したところ修正されましたので報告します。 cheeers! のログイン画面は下記の通りですが、アドレスバーに注目ください。from=というクエリ文字列にURLをパーセントエンコードしたものがついています。 以上は正常系の流れですが、それではfrom=に、cheeers! とは無関係のURLを指定したらどうなるでしょうか。たとえば、from=https://twitter.com/HiromitsuTakagi/status/350971098248118272 と指定しておくと、ログイン成功後に下記の画面が表示されていました（現在は表示されません）。 爆笑。大草原不可避。wwwwwwwwww wwwwwwwwww wwwwwwwwww wwwwwwwwww wwwwwwwwww pi

[cubed-l]

「オープンリダイレクタは比較的よく見かける脆弱性」確かに。

[mas-higa]

"大半の利用者はパスワードを間違えたと勘違いして、もう一度正しいID（メールアドレス）とパスワードを入力するでしょう" 昔から、パスワード間違えたときは、正規のログイン画面に戻ってやり直すようにしてる。

[ardarim]

これは深刻な被害だｗ 「ひょっとすると、口に含んでいたコーヒーを手許のMacBook Airにぶちまけてしまうという「被害」も想定されますが、被害はこれにとどまりません」/ しかしイマドキ、オープンリダイレクタとは…

[Cujo]

似たようなURL見かけたら一度疑った方がいいということなのかな。

[namnchichi]

わかりやすい解説。教科書レベルのミス

[JULY]

こりゃまた古典的な。