簡単通販システムmakeshopにXSS脆弱性があったよ
御客様から依頼を受けてmakeshopの機能検証をデモサイトを使ってしていたらXSS脆弱性の存在を発見してしまったので、IPAに届け出ました。修正されない状態の中で「FB良品」がmakeshopを使っていることが明らかになるとか、いろいろあったけど口をつぐむこと約4ヶ月。修正完了連絡が来たのでまとめてみた。この間、件のサイトはオープンのままだったけど、問題にならなくて良かったよ。
-
pismo_kumachan
- 5626
- 0
- 0
- 6
-
- いいね!6
makeshop側で確認作業が始まったっぽいのを確認。でも、残念ながらサイトはオープンのままになっている…orz
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
某ASPさん、通知から2週間経って、ようやく動き出したのかな?様々なところにスクリプトが埋め込まれてるw
2012-12-13 23:50:21
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
でも、ぶっちゃけ<script>タグだけじゃなくて<iframe>も対応しないとダメだと思うよ。<script>にしか目が行ってないようだけど。
2012-12-13 23:53:54
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
某ASP、XSSの通知がされてから3週間経つが、未だに放置。一旦閉鎖した方が良いと思うんだけど、そう言う判断を出来る人間がいないんだねぇ。危機管理がなっていない。
2012-12-20 13:27:48
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
某ASPのXSS問題、何か本番環境でテストしているみたいだな。一部対応されたっぽい。だが、指摘したところはそこじゃないので、これからが本番。年内に解決なるか!?
2012-12-23 00:53:39
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
某大手ASPさん、年末年始は休んでいるのね。XSS脆弱性があるサイト、閉鎖していないから利用されちゃってるよ。悪意を持ったヤツが気付いたらアウトじゃん。
2013-01-03 13:59:21
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
某大手ASPのXSS脆弱性問題。取扱開始(=ASP業者への通知)連絡が来てから1ヶ月半。未だに完全な対応をされずXSSなサイトもアクセス自由なまま放置状態。マジメにやる気あるのかね?
2013-01-13 16:01:56
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
某大手ASP業者。管理画面を差し替えただけで直した気になっているのだろうか?それにしては、完了通知が来ないのは何故なんだろ?まもなく連絡から2ヶ月。
2013-01-15 16:00:22
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
そういえば、あの某大手ASPさん、3ヶ月経ったのに進展無し。つか、対応したつもりで放置しているのかな?IPAをつついてみるか。
2013-01-26 19:29:13
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
某大手ASP事業者、全然XSSの対応が進んでないのか完了連絡が来ないなぁ。3ヶ月も経つのに…まとめを作り始めるか。
2013-02-08 22:58:01
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
実は某ASP事業者、XSS対策を放置しているっぽい。なので、どこまでやるかが問題。うっかりするとXSSになっちゃう。でも、タイムリミットもあるし、待ってられない。
2013-02-13 04:32:52