• はてなブックマーク
  • テクノロジー
  • VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ
  • Twitterでシェア
  • Facebookでシェア

VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ

テクノロジー カテゴリーの変更を依頼 記事元:debiru.hatenablog.com
適切な情報に変更
231 usersがブックマーク コメント30

    記事へのコメント30

    • 注目コメント
    • 新着コメント
    ockeghem
    ockeghem なかなかワイルドなCSRF脆弱性事例。GETリクエスト一発でアカウント削除まで行くのは珍しいかも

    2016/04/07 リンク

    その他
    Jxck
    Jxck GET で delete する案件か。。あとドメインレジストラは影響度高いから脆弱性対策の窓口はしっかりしてほしいところ。

    2016/04/07 リンク

    その他
    C_L
    C_L ウェブアプリの脆弱性はIPAは公表せず、当該事業者側の公表は事業者の判断となるので(自分がアドビの脆弱性報告したときは http://cl.hatenablog.com/entry/adobeforums-fixed)、事後に発見者が公表しないと埋もれちゃうんだよね

    2016/04/07 リンク

    その他
    rryu
    rryu CSRF以前に「ここをクリック」をクリックしただけでアカウント削除完了というUIが想像を絶している。

    2016/04/07 リンク

    その他
    stealthinu
    stealthinu VALUE-DOMAINというとスパム用のドメインがたくさん取られていたドメイン屋という印象が強すぎてなあ…

    2016/04/07 リンク

    その他
    tetsutalow
    tetsutalow あー、わかりやすい。ありがたい解説です。

    2016/04/07 リンク

    その他
    kenichiice
    kenichiice 「それと、VALUE-DOMAIN 側からは今回の CSRF 脆弱性があった件について、その事実や修正したことを公表していないようです。」

    2016/04/19 リンク

    その他
    sakadon
    sakadon おっいつもどおりのGMO案件!独立系デジロック時代は多めに見てた人も多いだろうけど、もうただのGMOだしいっぱい叩こう

    2016/04/09 リンク

    その他
    efcl
    efcl 教科書的なCSRF

    2016/04/08 リンク

    その他
    raimon49
    raimon49 VALUE-DOMAIN窓口とIPA窓口、どちらもがっくり来る。

    2016/04/08 リンク

    その他
    tailtame
    tailtame お疲れ様です。怖すぎる。問い合わせすることあるけど分かってないな?ってのがあるのよね…

    2016/04/08 リンク

    その他
    buko
    buko (今は)有名なGMOグループなのにな。

    2016/04/07 リンク

    その他
    hazy-moon
    hazy-moon 思ったより気軽に死ねるタイプの脆弱性だった

    2016/04/07 リンク

    その他
    pismo
    pismo 本当に正しく対応完了したかどうかの確認は取れてないって事なのかな?それはそれで怖い気もするけど、仕方ないのかな?

    2016/04/07 リンク

    その他
    mumincacao
    mumincacao 削除しようとしたことなかったから気づかなかったけどそんなざるいのですか・・・ りにうあるしてからよく迷子になるようにはなったけど前からそんなざる機能だったのかなぁ?(・x・;【みかん

    2016/04/07 リンク

    その他
    takc923
    takc923 逆に考えるんだ。「こんなんでも何とかなるんだ」と考えるんだ(あかん)

    2016/04/07 リンク

    その他
    ElizaAcolyte
    ElizaAcolyte レジストラのアカウント削除がURL一つで出来るとは・・・教科書に載せたいレベルのダイナミックさだな・・・。

    2016/04/07 リンク

    その他
    t_f_m
    t_f_m "全く期待外れの回答だったのでこちらもきちんと伝える必要があるなと思い、より致命的な問題を指摘することにしました"

    2016/04/07 リンク

    その他
    m_insolence
    m_insolence 豪快すぎるわ。

    2016/04/07 リンク

    その他
    ayakohiroe
    ayakohiroe VDだけじゃなくてなんかいろいろ深刻に問題ですね

    2016/04/07 リンク

    その他
    stealthinu
    stealthinu VALUE-DOMAINというとスパム用のドメインがたくさん取られていたドメイン屋という印象が強すぎてなあ…

    2016/04/07 リンク

    その他
    rryu
    rryu CSRF以前に「ここをクリック」をクリックしただけでアカウント削除完了というUIが想像を絶している。

    2016/04/07 リンク

    その他
    l3l
    l3l なるほどなー

    2016/04/07 リンク

    その他
    miki3k
    miki3k ログイン状態で他のサイトを見てはいけません、レベルだったのか

    2016/04/07 リンク

    その他
    y-kawaz
    y-kawaz ここまでザルなのは凄いな

    2016/04/07 リンク

    その他
    key_amb
    key_amb ありがたい取り組み。

    2016/04/07 リンク

    その他
    progrhyme
    progrhyme ありがたい取り組み。

    2016/04/07 リンク

    その他
    Jxck
    Jxck GET で delete する案件か。。あとドメインレジストラは影響度高いから脆弱性対策の窓口はしっかりしてほしいところ。

    2016/04/07 リンク

    その他
    digitalglm
    digitalglm VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ: 2016 - 04 - 07 VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF…

    2016/04/07 リンク

    その他
    camellow
    camellow いつのまにかバリュードメインもGMO傘下になってるようだしお名前.comへの移行キャンペーンとかやってるしもうバリュードメインをまじめに運用する気がないのかな

    2016/04/07 リンク

    その他
    C_L
    C_L ウェブアプリの脆弱性はIPAは公表せず、当該事業者側の公表は事業者の判断となるので(自分がアドビの脆弱性報告したときは http://cl.hatenablog.com/entry/adobeforums-fixed)、事後に発見者が公表しないと埋もれちゃうんだよね

    2016/04/07 リンク

    その他
    ginpei
    ginpei ログイン状態でURLにアクセスするだけでアカウント削除も含めいろいろできてしまっていたとか。技術の解説だけでなく当該ウェブサービスやIPAへ連絡についても触れている。

    2016/04/07 リンク

    その他
    ockeghem
    ockeghem なかなかワイルドなCSRF脆弱性事例。GETリクエスト一発でアカウント削除まで行くのは珍しいかも

    2016/04/07 リンク

    その他
    zapperd
    zapperd こんなのあったの

    2016/04/07 リンク

    その他
    mi1kman
    mi1kman 数年経っても復活しないのであれば事実上廃止されたようなものでは>ウェブ届出フォーム

    2016/04/07 リンク

    その他
    tetsutalow
    tetsutalow あー、わかりやすい。ありがたい解説です。

    2016/04/07 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ

    2015年12月に私が発見した VALUE-DOMAIN での CSRF 脆弱性について、その脆弱性の報告と修正までの経緯...

    ブックマークしたユーザー

    • techtech05212023/12/21 techtech0521
    • phji2016/05/01 phji
    • kohkimakimoto2016/05/01 kohkimakimoto
    • kamipo2016/05/01 kamipo
    • oldriver2016/04/25 oldriver
    • kenichiice2016/04/19 kenichiice
    • Kenji_s2016/04/17 Kenji_s
    • mattarin2016/04/14 mattarin
    • latteru2016/04/14 latteru
    • yohane002016/04/13 yohane00
    • mcddx302016/04/12 mcddx30
    • fuktommy2016/04/11 fuktommy
    • firsthal2016/04/11 firsthal
    • yagipass2016/04/11 yagipass
    • yoshi-nkyma2016/04/11 yoshi-nkyma
    • traditionfollowing2016/04/10 traditionfollowing
    • motchang2016/04/10 motchang
    • lEDfm4UE2016/04/10 lEDfm4UE
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.