水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WEBインベンターがCookieを使うようになった

WEBインベンターがCookieを使うようになった

2010年4月9日(金曜日)

WEBインベンターがCookieを使うようになった

公開: 2010年4月11日21時50分頃

URLを知られたらアウトな管理画面」の話ですが、「管理プログラムのセキュリティーの向上 (mag.wb-i.net)」というアナウンスが出ていますね。

WEBインベンターのご利用に心から感謝いたします。ショッピングカートの管理プログラムのセキュリティーを一層向上させましたのでお知らせいたします。

追加された機能は、次の4つです。

(1)クッキーによるログイン方式。

(2)指定したIPアドレスからのみ管理プログラムにアクセスできる。

(3)パスワードの暗号化。

(4)メールフォームのスパム対策など。

以上、管理プログラムのセキュリティーの向上 より

パスワードをURLにつけて引き回すのをやめて、Cookieを使うようにした模様です。下の方にサンプルへのリンクがあるので、早速確認してみると……。

すると、こうなります。

KanShaDa=1234

……。

ちなみに、表側の方もCookieを使うようになったようです。

すると、こうなります。

KanShaDa=1234; ENTRY_DATA=%3C%3EPASSWORD%3C%3E%82%A8%96%BC%91O%3C%3E%3C%3E%3C%3E%93s%93%B9%95%7B%8C%A7%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E%8Cg%91%D1%93d%98b%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E%3C%3E

※"%82%A8%96%BC%91O" は、Shift_JISの「お名前」。

ユーザが会員登録時に入力したパスワードや、名前などの個人情報のデータなども、全てそのままCookieに格納しているようですね。Cookieを使うようになったというのは間違いではないようですが、ちょっと普通はしない使い方ではあります。

これだけで直ちに脆弱性と言えるかは微妙なところです。ただ、万が一、どこかにXSS脆弱性があったりすると、生のパスワードや個人情報などがそのまんま漏れてしまうことになります。そうなると、通常のXSS脆弱性よりも被害が大きくはなりますね。

※2011-01-12追記: そして、実際にXSS脆弱性があってパスワードが漏れる状態でした。いちおう修正されたようです……WEBインベンター、XSSを修正か

関連する話題: Web / セキュリティ / WEBインベンター

最近の日記

関わった本など