簡単通販システムmakeshopにXSS脆弱性があったよ
御客様から依頼を受けてmakeshopの機能検証をデモサイトを使ってしていたらXSS脆弱性の存在を発見してしまったので、IPAに届け出ました。修正されない状態の中で「FB良品」がmakeshopを使っていることが明らかになるとか、いろいろあったけど口をつぐむこと約4ヶ月。修正完了連絡が来たのでまとめてみた。この間、件のサイトはオープンのままだったけど、問題にならなくて良かったよ。
- pismo_kumachan
- 5592
- 0
- 0
- 6
御客様から依頼があったので、makeshopの機能検証をデモサイトを使ってやっていたら...
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
なるほど〜。デモ画面でテストしたけど、面白いね〜。制限加えるならちゃんとして欲しいな。中途半端だ〜。
2012-11-23 19:31:21
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
CSS使えねぇとか書いてあるけど、HTMLは書けるみたいなんだよな〜。STYLE属性でいけるかもな。
2012-11-23 19:40:35
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
HTMLもCSSもいじれないよん♪とか言いながら、タグ入るので、やりたい放題出来る。デモ画面にGoogleMap貼ってみたら出来た。何でもアリならXSS脆弱性とかありそうだなw
2012-11-23 20:16:39何と!XSS(クロスサイトスクリプティング)脆弱性を発見してしまった…orz
IPAへの届出は初めてではないけど、久しぶりなのでドキドキしまくり(笑)
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
チョット怖くてやってないけど、不完全ながらフィッシングサイト作れちゃうかな。Cookieは盗まれても意味のないものだけだった。
2012-11-24 01:07:51
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
もし、デモサイトと本番サイトが同じプログラムで動いているなら、管理者権限を奪取されるとヤバいな。しかも、管理者のログインIDは容易に推測可能と思われる。
2012-11-24 01:16:48
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
コーフん状態で眠れん。100%自分で見つけたのは初だからなぁ。来週のやり取りを想像するとコーフんしてしまう。
2012-11-24 03:47:51IPAでの取り扱いが開始された。ということでXSS脆弱性の存在は確定。
このアカウントは死にました(旧ぴずも)
@pismo_kumachan
某ASPのデモサイトに於けるXSSの件。11/29にIPAから通知されているはずなのに、1週間以上経った本日現在閉鎖されず。デモサイトなので誰でもアクセス出来るんだから一旦閉鎖して欲しいんだけどねぇ。
2012-12-08 22:35:16