FC2 Online Web Service Open Redirect (Unvalidated Redirects and Forwards) Cyber Security Vulnerabilities

fc2_com_2

 

FC2 Online Web Service Open Redirect (Unvalidated Redirects and Forwards) Cyber Security Vulnerabilities

 

Domain:
fc2.com

“FC2 (founded July 20, 1999) is a popular Japanese blogging host, the third most popular video hosting service in Japan (after YouTube and Niconico), and a web hosting company headquartered in Las Vegas, Nevada. It is the sixth most popular website in Japan overall (as of January 2014). FC2 is an abbreviation of “Fantastic Kupi-Kupi (クピクピ)”. It is known to allow controversial adult content such as pornography and hate speech (unlike many of its competitors). The company uses rented office space for its headquarters which it shares with many other U.S.-based businesses. It also pays taxes in the United States. The physical servers are located in the United States. However, it is believed that the majority of the company and its users (including employees) are located within Japan” (Wikipedia)

 

The Alexa rank of fc2.com is 52 on February 18 2015. It is the toppest Japanese local website sevice.

 

 

 

(1) Vulnerability Description:

FC2 online web service has a computer cyber security bug problem. It can be exploited by Open Redirect (Unvalidated Redirects and Forwards) attacks. Here is the description of Open Redirect: “An open redirect is an application that takes a parameter and redirects a user to the parameter value without any validation. This vulnerability is used in phishing attacks to get users to visit malicious sites without realizing it.” One consequences of it is Phishing. (OWASP)

 

The program code flaw can be attacked without user login. Tests were performed on Microsoft IE (9 9.0.8112.16421) of Windows 7, Mozilla Firefox (37.0.2) & Google Chromium 42.0.2311 (64-bit) of Ubuntu (14.04.2),Apple Safari 6.1.6 of Mac OS X v10.9 Mavericks.

 

In fact, during the test, it is not hard to find URL Redirection bugs in FC2. Maybe fc2.com pays little attention to mitigate these Vulnerabilities. These bugs were found by using URFDS.

 

 

 

(2) Use one of webpages for the following tests. The webpage address is “http://securitypost.tumblr.com/“. Can suppose that this webpage is malicious.

 

 

Vulnerability Disclosure:
Those vulnerabilities were reported to Rakuten, they are still unpatched.

 

 

 

Discover and Reporter:
Wang Jing, Division of Mathematical Sciences (MAS), School of Physical and Mathematical Sciences (SPMS), Nanyang Technological University (NTU), Singapore. (@justqdjing)
http://www.tetraph.com/wangjing

 

 

==================

 

 

 

FC2オンラインWebサービスオープンリダイレクト(未検証のリダイレクトとフォワード)サイバー·セキュリティの脆弱性

 

ドメイン:
fc2.com

(1999年7月20日に設立)」FC2は、日本の人気ブログのホスト、(YouTubeやニコニコ後)は、日本で3番目に人気のビデオホスティングサービス、およびラスベガス、ネバダ州に本社を置くウェブホスティング会社です。それは第六最も人気のあります日本のウェブサイトは、全体的な。(2014年1月のように)FC2はの略で、「ファンタスティックKupi-Kupi(クピクピ)」。このようなポルノのような論争のアダルトコンテンツを許可し、(競合他社の多くとは異なり)スピーチを憎むことが知られています。」 (ウィキペディア)

 

fc2.comのAlexaのランクはそれがtoppest日本のローカルウェブサイトの流通サービスである2月18日2015年52あります。

 

 

 

(1)脆弱性の説明:

FC2オンラインWebサービスは、コンピュータのサイバーセキュリティバグの問題があります。それは、オープンリダイレクト(未検証のリダイレクトとフォワード)攻撃によって悪用される可能性があります。ここでオープンリダイレクトの説明は次のとおりです。「オープンリダイレクトがパラメータを受け取り、何の検証も行わずにパラメータ値にユーザーをリダイレクトするアプリケーションです。この脆弱性は、それを実現することなく、悪質なサイトを訪問するユーザーを取得するためにフィッシング攻撃で使用されています。。 “それの一つの結果はフィッシングで​​す。 (OWASP)

 

プログラムコードの欠陥は、ユーザのログインなしで攻撃される可能性があります。テストは、Windows 7のMicrosoftのIE(9 9.0.8112.16421)で行われた、Mozilla Firefoxの(37.0.2)&グーグルクロム42.0.2311のUbuntuの(64ビット)(14.04.2)はMac OSのアップルのSafari 6.1.6 X v10.9マーベリックス。

 

実際には、テスト時には、FC2内のURLリダイレクトのバグを見つけることは難しいことではありません。多分fc2.comは、これらの脆弱性を軽減するためにはほとんど注意を払っています。

 

 

 

(2)以下の試験のためのWebページのいずれかを使用します。ウェブページアドレスは「http://securitypost.tumblr.com/」です。このウェブページに悪意であるとすることができます。

 

 

脆弱性の公開:
これらの脆弱性は楽天に報告された、彼らはまだパッチを適用していないです。

 

 

発見し、レポーター:
王ジン (Wang Jing)、数理科学研究部門(MAS)、物理的および数理科学科(SPMS)、南洋理工大学(NTU)、シンガポール。 (@justqdjing
http://www.tetraph.com/wangjing

Attachments area
Preview YouTube video FC2 Online Web Service Unvalidated Redirects and Forwards Cyber Security Vulnerabilities

Advertisements

FC2 fc2.com Online Website URLs XSS (cross site scripting) Vulnerabilities (All URLs Under Domain blog.fc2.com/tag)

FC2 fc2.com Online Website URLs XSS (cross site scripting) Vulnerabilities (All URLs Under Domain blog.fc2.com/tag)

 

Domain:
blog.fc2.com/

“FC2 (founded July 20, 1999) is a popular Japanese blogging host, the third most popular video hosting service in Japan (after YouTube and Niconico), and a web hosting company headquartered in Las Vegas, Nevada. It is the sixth most popular website in Japan overall (as of January 2014). FC2 is an abbreviation of “Fantastic Kupi-Kupi (クピクピ)”. It is known to allow controversial adult content such as pornography and hate speech (unlike many of its competitors). The company uses rented office space for its headquarters which it shares with many other U.S.-based businesses. It also pays taxes in the United States. The physical servers are located in the United States. However, it is believed that the majority of the company and its users (including employees) are located within Japan” (Wikipedia)

 

The Alexa rank of fc2.com is 52 on February 18 2015. It is the toppest Japanese local website sevice.

 

 

fc2_blog_xss1




fc2_blog_xss2

 

 

(1) Vulnerability description:

FC2 has a computer cyber security bug problem. It is vulnerable to XSS attacks. Here is the description of XSS: “Hackers are constantly experimenting with a wide repertoire of hacking techniques to compromise websites and web applications and make off with a treasure trove of sensitive data including credit card numbers, social security numbers and even medical records. Cross-site Scripting (also known as XSS or CSS) is generally believed to be one of the most common application layer hacking techniques Cross-site Scripting allows an attacker to embed malicious JavaScript, VBScript, ActiveX, HTML, or Flash into a vulnerable dynamic page to fool the user, executing the script on his machine in order to gather data. The use of XSS might compromise private information, manipulate or steal cookies, create requests that can be mistaken for those of a valid user, or execute malicious code on the end-user systems. The data is usually formatted as a hyperlink containing malicious content and which is distributed over any possible means on the internet.” (Acunetix)

 

The programming code flaw occurs at fc2 URLs’ filenames . Fc2 only filter part of the filenames in the urls. Almost all urls are affected under domain blog.fc2.com/tag are affected. i.e.
http://blog.fc2.com/tag/drug/
http://blog.fc2.com/tag//アメリカ/
http://blog.fc2.com/tag/tag/翻訳
http://blog.fc2.com/tag//>レシピブログに参加中♪

 

The vulnerability can be attacked without user login. Tests were performed on Firefox (37.02) in Ubuntu (14.04) and IE (9.0.15) in Windows 7. The bugs found by using CSXDS.

 

POC Code:
http://blog.fc2.com/tag/drug//“><img src=x onerror=prompt(‘justqdjing’)>
http://blog.fc2.com/tag//アメリカ//“><img src=x onerror=prompt(‘justqdjing’)>
http://blog.fc2.com/tag/tag/翻訳//“><img src=x onerror=prompt(‘justqdjing’)>
http://blog.fc2.com/tag//>レシピブログに参加中//”><img src=x onerror=prompt(‘justqdjing’)>

 

 

 

Vulnerability Disclosure:
Those vulnerabilities were reported to rakuten-cert@rakuten.co.jp in 2014. No one replied. Until now, they are still unpatched.

 

 

Bug Discover:
Wang Jing, Division of Mathematical Sciences (MAS), School of Physical and Mathematical Sciences (SPMS), Nanyang Technological University (NTU), Singapore. (@justqdjing)
http://www.tetraph.com/wangjing

 

 

=================================

 

 

FC2 fc2.comオンラインのウェブサイトのURL XSS(クロスサイトスクリプティング)脆弱性(ドメインblog.fc2.com/tag下にあるすべてのURL)

 

ドメイン:
blog.fc2.com/

“FC2(エフシーツー)は、アメリカ合衆国ネバダ州ラスベガスに本社を置く、Webサービスおよびホスティングサービスを展開する企業。日本を中心に事業展開を行なっている。社名のFC2は「ファンタスティック・クピ・クピ」の略であるとしている。 会社の代表者は、設立当初から2008年までは日本人の高橋理洋(CEO)が務めたが、2009年からMaurice Bannon、2012年にはLance Wolff Kerness、2014年はDEREK G ROWLEYが務めている。” (ja.wikipedia.org)

 

 

(1)脆弱性の説明:

FC2は、コンピュータのサイバーセキュリティバグの問題があります。これは、XSS攻撃に対して脆弱です。ここでXSSの説明は次のとおりです。「ハッカーは常にWebサイトやWebアプリケーションを侵害し、クレジットカード番号、社会保障番号、さらには医療記録などの機密データの宝庫でオフにする技術をハッキングの幅広いレパートリーで実験されている4クロス。サイトスクリプティングは、(また、XSSやCSSとして知られる)は、一般のVBScript、ActiveXの、HTML、またはFlashはに対して脆弱動的ページに、攻撃者が悪意のあるJavaScriptを埋め込むことができ、最も一般的なアプリケーション層ハッキング技術クロスサイトスクリプティングの一つであると考えられていますデータを収集するために、自分のマシン上でスクリプトを実行して、ユーザーをだます。XSSの使用が有効なユーザーの方に誤解されるか、または最後に悪質なコードを実行できる要求を作成し、操作したり、クッキーを盗む、個人情報を危険にさらす可能性があります-userシステムでは、データは通常、悪質なコンテンツを含むハイパーリンクとしてフォーマットされ、インターネット上の任意の可能な手段を介して配布されています。」 (会社のAcunetix)

 

プログラミングコードの欠陥は、FC2のURL」のファイル名で発生します。 FC2は、URLだけでファイル名の一部をフィルタリングします。ほぼすべてのURLが影響を受けますblog.fc2.com/tagドメインの下に影響を受けています。すなわちhttp://blog.fc2.com/tag/drug/
http://blog.fc2.com/tag//アメリカ/
http://blog.fc2.com/tag/tag/翻訳
http://blog.fc2.com/tag//>レシピブログに参加中♪

 

この脆弱性は、ユーザのログインなしで攻撃される可能性があります。試験は、Windows 7でのUbuntuでのFirefox(37.02)(14.04)およびIE(9.0.15)で行いました。

 

 

POCコード:
http://blog.fc2.com/tag/drug//“><img SRC = X onerror = alert( ‘justqdjing’)>
http://blog.fc2.com/tag//アメリカ// “> <IMG src = X onerror = alert( ‘justqdjing’)>
http://blog.fc2.com/tag/tag/翻訳// “> <IMG src = X onerror = alert( ‘justqdjing’)>
http://blog.fc2.com/tag//>レシピブログに参加中// “> <IMG src = X onerror =alert( ‘justqdjing’)>

 

 

 

脆弱性の公開:
これらの脆弱性は誰も答えていない2014年にrakuten-cert@rakuten.co.jpすることが報告されました。今までは、彼らはまだパッチを適用していないです。

 

 

バグを発見:
王ジン (Wang Jing)、数理科学研究部門(MAS)、物理的および数理科学科(SPMS)、南洋理工大学(NTU)、シンガポール。 (@justqdjing
http://www.tetraph.com/wangjing

Attachments area
Preview YouTube video FC2 fc2.com Online Website URLs XSS (cross site scripting) Vulnerabilities (Domain blog)

FC2 fc2.com Online Website URLs XSS (cross site scripting) Vulnerabilities (Domain blog)