アカウント名:
パスワード:
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス [security.srad.jp]
この脆弱性まだ直ってないみたいですね。
こっちかと思った。「セブンネットショッピングに不正アクセス、カード情報15万件以上が流出した可能性」 https://security.srad.jp/story/13/10/24/0328212/ [security.srad.jp]
さらに、こっちの様相も呈してきてる。「メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」 https://security.srad.jp/story/10/04/06/0655212/ [security.srad.jp]「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」
「7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も」 https://www.itmedia.co.jp/news/articles/1907/04/news079.html [itmedia.co.jp]「これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。
しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。」
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
関連リンク (スコア:1)
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス [security.srad.jp]
この脆弱性まだ直ってないみたいですね。
Re:関連リンク (スコア:3, 興味深い)
こっちかと思った。
「セブンネットショッピングに不正アクセス、カード情報15万件以上が流出した可能性」 https://security.srad.jp/story/13/10/24/0328212/ [security.srad.jp]
さらに、こっちの様相も呈してきてる。
「メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」 https://security.srad.jp/story/10/04/06/0655212/ [security.srad.jp]
「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」
「7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も」 https://www.itmedia.co.jp/news/articles/1907/04/news079.html [itmedia.co.jp]
「これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。
しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。」