WEBインベンターがCookieを使うようになった
2010年4月9日(金曜日)
WEBインベンターがCookieを使うようになった
公開: 2010年4月11日21時50分頃
「URLを知られたらアウトな管理画面」の話ですが、「管理プログラムのセキュリティーの向上 (mag.wb-i.net)」というアナウンスが出ていますね。
WEBインベンターのご利用に心から感謝いたします。ショッピングカートの管理プログラムのセキュリティーを一層向上させましたのでお知らせいたします。
追加された機能は、次の4つです。
(1)クッキーによるログイン方式。
(2)指定したIPアドレスからのみ管理プログラムにアクセスできる。
(3)パスワードの暗号化。
(4)メールフォームのスパム対策など。
以上、管理プログラムのセキュリティーの向上 より
パスワードをURLにつけて引き回すのをやめて、Cookieを使うようにした模様です。下の方にサンプルへのリンクがあるので、早速確認してみると……。
- サンプルのログイン画面にアクセス: http://wb-i.kir.jp/sample/SPF910/setup.cgi (wb-i.kir.jp)
- パスワードに「1234」を入力して「認証」を押す。
- Cookieが使われるようになったらしいので、ブラウザのアドレスバーに javascript:document.cookie と入力してCookieの値を表示。
すると、こうなります。
KanShaDa=1234
……。
ちなみに、表側の方もCookieを使うようになったようです。
- サンプルの会員登録画面にアクセス: http://wb-i.kir.jp/sample/SPF910/entry.cgi?mode=add0&order= (wb-i.kir.jp)
- 適当な値 (たとえば名前=お名前、パスワード=PASSWORD) を入力して「会員登録[確認]」を押す。
- ブラウザのアドレスバーに javascript:document.cookie と入力してCookieの値を表示。
すると、こうなります。
KanShaDa=1234; ENTRY_DATA=%3C%3EPASSWORD%3C%3E%82%A8%96%BC%91O%3C%3E%3C%3E%3C%3E%93s%93%B9%95%7B%8C%A7%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E%8Cg%91%D1%93d%98b%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E
※"%82%A8%96%BC%91O" は、Shift_JISの「お名前」。
ユーザが会員登録時に入力したパスワードや、名前などの個人情報のデータなども、全てそのままCookieに格納しているようですね。Cookieを使うようになったというのは間違いではないようですが、ちょっと普通はしない使い方ではあります。
これだけで直ちに脆弱性と言えるかは微妙なところです。ただ、万が一、どこかにXSS脆弱性があったりすると、生のパスワードや個人情報などがそのまんま漏れてしまうことになります。そうなると、通常のXSS脆弱性よりも被害が大きくはなりますね。
※2011-01-12追記: そして、実際にXSS脆弱性があってパスワードが漏れる状態でした。いちおう修正されたようです……WEBインベンター、XSSを修正か。
- 「WEBインベンターがCookieを使うようになった」へのコメント (1件)
- 前(古い): 企業のリンクポリシーが無茶な要求をする理由
- 次(新しい): 週刊ダイヤモンドの表紙が大変だ