2009年12月18日

セブンの件

この前から色々と話題になってるセブンネットショッピング
大公開中ってよりは、単にXSSと併せてディレクトリトラバーサルの脆弱性が存在するだけみたい。
冗長なUTF-8文字列の処理を適切にできてないってことで、両方の問題につながってるんでしょう。
「だけ」で済まされる問題じゃないんですが。
ディレクトリパーミッションが不適切な設定になってたとかならともかく、これを「公開している」っていうのは違うんじゃない?
あのURLを意図して踏んだなら、下手すりゃ不正アクセス・・・いゃまあギリギリ?

どっちにしろ、何でこの状態でまだサービス続けてんのか全く意味分からない。
ここまでズタボロなシステム使ってて、それをめちゃくちゃ指摘されてる状況下なら、普通の企業ならとりあえず会員の個人情報とか保護するためにサービス止めるでしょ。
この1年でまれに見る酷い対応。
叩かれても仕方がない。

・・・でも、2chの連中は面白がって公開しすぎ。
IPAとかセブンの方に連絡するならともかく(いゃ、もちろんとっくの昔に誰かが連絡してるんでしょうけども)、2chにあそこまでおおっぴらに書き込むとは。
脆弱性の存在を指摘するだけならまだしも、誰もが見れるURLを晒すなんてタチ悪すぎ。
面白けりゃ何でもええんかいな。
セブンの対応と同じぐらい、それが腹立たしい。

コメントする