アカウント名:
パスワード:
GETパラメータだけで認証&認可するとか、素人かな?工数不足かな?手抜きかな?
私の加入している某会員制ホテルグループのアプリはもっとひどかった自分のアプリに自分の会員No.をひもづける時にまさかの無認証会員番号はただの数字なので、適当な番号を入れると他人の会員権とひもづいてしまう笑そしてその場ですぐにアプリによって予約や予約の取り消しができるようになる笑
今までで見た一番ひどいシステムホテル業界ってあんまり情報セキュリティの概念がないのかな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
手抜きすぎでしょ (スコア:0)
GETパラメータだけで認証&認可するとか、素人かな?工数不足かな?手抜きかな?
Re:手抜きすぎでしょ (スコア:2)
私の加入している某会員制ホテルグループのアプリはもっとひどかった
自分のアプリに自分の会員No.をひもづける時にまさかの無認証
会員番号はただの数字なので、適当な番号を入れると他人の会員権とひもづいてしまう笑
そしてその場ですぐにアプリによって予約や予約の取り消しができるようになる笑
今までで見た一番ひどいシステム
ホテル業界ってあんまり情報セキュリティの概念がないのかな