パスワードを忘れた? アカウント作成
12748085 story
セキュリティ

ドメイン名登録サービスVALUE-DOMAINの会員サイトに脆弱性 5

ストーリー by hylom
設計のほうに問題がある系 部門より
insiderman 曰く、

ドメイン名登録サービスVALUE-DOMAINの会員サイトに脆弱性があった模様。すでに修正は行われているという(VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について — debiruはてなメモ)。

この脆弱性は、ログインした状態で特定のURLにアクセスするだけで確認なしにアカウント削除操作が行えてしまうというもの。たとえばメールやSNSなどでこのURLを拡散し、うっかりアクセスした人がアカウント削除されてしまう、といったイタズラが考えられる。また、登録情報やパスワードの変更も特定のURLへのリクエストだけで行えるため、同様の問題があったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年04月11日 16時37分 (#2995548)

    古き良き時代の Perl CGI って感じの作りだった記憶が。
    もう捨てて久しいサービスですが、未だにそのまま運用していたんですね。

    • by Anonymous Coward

      気にせず使ってたけど、こんな超古典的な手法でできたとは。
      これと全く同じ方法で某ブラウザゲームのキャラ削除URLが2ちゃんねるに書き込まれたことがあってね。
      大騒ぎになってすぐに運営の対応が入りました。

      これ踏むとキャラ消えるんじゃね?ってコメントも添えておいたのに踏む奴が続出するとは思わなかった。
      正直、済まなかったと思ってる。

      • by Anonymous Coward

        コメント書き換えられて拡散される可能性も考慮した?

      • by Anonymous Coward

        二昔前、itmediaかどっかの投票apiがリファラをチェックしていなかったのか
        http:/// [http] itmedia.co.jp/ vote/ 123?answer=1&.jpg みたいなurlを作って専ブラに自動読み込みさせて票を操作している人を見たことがある
        頭いいね

    • by Anonymous Coward
      しばらく前に、全面的に作り替えしたんだけどね。
      見た目だけ変えたかんじだったのか。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...