唯物是真 @Scaled_Wurm

プログラミング(主にPython2.7)とか機械学習とか

ヤオコーのWebサイト( www.yaoko-net.com )で見かけた脆弱性

修正されたようなので簡単にメモっておきます。
お知らせが公開されていたヤオコーのWebページのURLが以下のようになっていました。

XSSを見慣れた人ならタイトルやアドレスなどのパラメータを操作するとやばそうだな、というのがわかると思います。
実際気づいた人は多く以下のように話題になりました。

具体的な問題点

余談

ディレクトリトラバーサルはやばいかもと思ったので、チキンな私はヤオコーのお問い合わせ窓口とIPAに届出をしました。
実際こういう騒動になった場合ってどれぐらい、報告が集まるんでしょうね?


IPA届出でしたが、PGPで暗号化が必要だったり面倒ですね。

-->