IPAにとあるwebサイトのセキュリティの問題点を報告したはなし - 枯れた技術の水平思考
今年1月に何故か立て続けに2件の脆弱性関連情報をみつけていて,IPAに報告をしていました. 今回の記事はその2件目にあたるお惣菜の宅配サービスにおけるセキュリティの問題を発見した話を書いていこうと思います. ここではあくまで報告に至る経緯の掲載を目的としているため,具体的なサイト名や業者名については明記していません. 発見の経緯 以前にオンラインで定期購入可能なお惣菜の宅配サービスを利用していたことがあり,当時そのサイトは大手のECサービスを利用していました. しかし,年明けにホームページリニューアルのお知らせという内容で以下のようなメールが届きました. サイト名が含まれるセール情報部分についてはマスク処理しています. こちらのメールを1月10日に確認後,即座に自身のアカウントの退会処理を行いましたが,翌日のリニューアル後に自身のメールアドレスと記載の[1111]というパスワードでログイン
自分の脆弱性情報の入手方法 - 枯れた技術の水平思考
前回のPHPのforeach記事の時に次こそ炭酸ジュース作れる機械のレビュー‥と書いていた気がしますが。 まぁ…はい、頑張ります。 というのはおいておいて今回はどちらかと言えばメモです。 昨日お酒の場でどうやって脆弱性情報を手に入れてるかという話がでて、そもそもこの辺りは正解という正解はないなぁ。と思ったのでメモ程度に書いておきます。 自分がやっている入手方法 ・テストサーバーでパッケージシステムの自動更新しておいて、そのログをLogwatchで受け取る。 これは本当に最低の方法ではあるけど、最悪クリティカルなものでもどうにかなる可能性がまだわずかにある。 ・CVEで始まるニュース情報のアラートをGoogle Newsで作っておく。 これもだいぶよろしくないのだけど、少なくともニュースとして取り扱われた段階で知ることができる。ここから直に飛べるようにしておきました。 ・SNS(特にTwit
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
