とあるECサイトのアクセス制御不備

商売柄、脆弱性や侵入事件のニュースがあると背景を調べることが多いのですが、このエントリは、侵入されたサイトを見に行って発見した脆弱性のお話です。 とあるECサイトが外部から侵入されたというニュースを見て、再開後のECサイトを見に行きました。普通に会員登録してログインしてみると、セッションIDの他に気になるクッキーが発行されていました（クッキーの名前と値は変えてあります）。 Set-Cookie: login=123456; path=/ Set-Cookie: loginflg=1; path=/ 直感的に、login=123456は内部的なユーザID(ユーザ番号)、loginflg=1はログイン済みであることを示すフラグのように思えました。しかし、まさかね。今時それはありえないアルよ。 そこで検証のために、先ほどとは別のユーザを登録してログインしてみました。すると、以下のクッキーが発行さ

[mumincacao]

つい先日 Cookie 信者さんに遭遇したけど最近のぶらうざは標準装備の開発つーるだけでもさくっと描き替えできるの知らないひとが意外と居るみたいなのです（ーωー；【みかん

[fukken]

このレベルだと、アクセス制御の不備とかセッション管理の不備とかではなく、「アクセス制御してない」レベルだなぁ。「どの値は信用できるか」の認識が雑というか皆無なので他にも死ぬほど脆弱性ありそうだ

[rryu]

あまりにベタな脆弱性を見つけてしまった時、人は変なテンションになる気がする。

[TakahashiMasaki]

"クッキーloginの数字を変えるだけで任意のユーザになりすましができてしまいます" (； -3*;:+;:;.,.,ﾟ::+:*., 。

[cubed-l]

こういうのを見た時は即座に脳内に「もう笑うしかない／平松愛理」が流れます

[deep_one]

ECサイトの設計をやっているというのに、クッキーを攻撃者が書きかえるという発想がない開発者は大問題ですねぇ…いや、クレジット決済関連でやばそうな仕様書を見たことがあるけど。

[k-holy]

セッションID発行しててこんなことをする理由が分からない。なんか歴史的経緯があるんだろうか

[float1251]

これはひどいなぁ。。。

[takc923]

これはすごい

[causeless]

署名付きcookieで検証ミスとか再送防止してないとかキーが予測可能とかは今でもありそうだけど、この場合は安全なストレージとは何かを理解してないとしか

[sonots]

やゔぁい

[ryonext]

ヒエー

[mzhs]

あまりにベタな脆弱性を見つけてしまった時、人は変なテンションになる気がする。 / “とあるECサイトのアクセス制御不備 | 徳丸浩の日記” — rryu (@rryu2010) March 28, 2014 from Twitter http://ift.tt/1gNnp2m

[TakamoriTarou]

ECサイトて…。恐。

[kasumani]

とあるECサイトのアクセス制御不備 商売柄、脆弱性や侵入事件のニュースがあると背景を調べることが多いのですが、このエントリは、侵入されたサイトを見に行って発見した脆弱性のお話です。 とあるECサイトが外部から

[mixvox-j]

"たまに、意味ありげなクッキーを吐いていても実際には使っていなかったり、表示のためだけに使っている場合もあるからです。"←「駄目だ…まだ笑うな…こらえるんだ…」感

[raysato]

クライアントから送られてくる情報の信用レベルがきちんと設計されていない話。

[houyhnhm]

えっ

[Sips]

あとで