2010年10月26日

ヤバげなサイト

とある準公共交通機関的なサービスを提供しているサイトにおける予約ページ(PHP使用、はどうでもいいか)のお話。

まず、あるセッションにおける個人情報がformのhidden要素に入れられて、ページ遷移の度にPOSTで送信される。
パスワードもなんと平文で。
セッション維持にはCookie使えよ!パスワードをそんな形で保持しないでよ!

次に、Referrerをチェックしてないので、予約の途中ステップのページをローカルに保存して、そのHTMLファイルからクエリ投げても普通に次のステップに進む。
これ自体に大きな意味はないけどさすがに弾けよ!

さらに、hidden要素に保存されてる価格を好きに書き換えてクエリ投げられるわけです。
で、クレジット払いにすると、その価格で支払い処理が進む模様。
例えば5000円のを100円とか。
スクリプト中で正しい値段かぐらいチェックしようよ!

と、まぁこりゃヤベえと思ったので書いてみました。
いゃ、悪用はしてませんよ?マジで。
3点目とか、どうせ人間の手が入る部分でチェックされるだろうし。

ただ、パッと見ただけでもこれだけの問題があるわけで、パスワードをハッシュ化すらせずに生のままサーバ上に保存してたり、見えない部分でさらにとんでもないことになってるんじゃなかろうかと邪推してしまう。
HTTP使ってる時点でもはやとか、そもそもHTTPS使おうよとか、色々あるでしょうし、セキュリティには疎いので的外れな指摘もあるかもしれないですが、超怖えですよ・・・

コメントする