気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
securitymemo.blogspot.comエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント4件
- 注目コメント
- 新着コメント
yyamano
“EC-CUBE開発元の株式会社ロックオンより、脆弱性の再現手順の一般公開はユーザーへの被害が発生する恐れがあるため、今回のブログ記事の後編の公開は止めてほしい、との申し入れが来ましたので、後編の公開を中止い
mi1kman
発見者が応じちゃってるけどこれはベンダがやりすぎ 参考→http://takagi-hiromitsu.jp/diary/20080122.html>『EC-CUBE開発元のロックオン社より、脆弱性の再現手順の一般公開(略)は止めてほしい(略)後編の公開を中止いたします』
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
EC-CUBEで発見した脆弱性の詳細 前編
本件はEC-CUBEに関しての一番最初の届出だったのですが、再現方法が複雑で、自分の説明がうまくなかった... 本件はEC-CUBEに関しての一番最初の届出だったのですが、再現方法が複雑で、自分の説明がうまくなかったのもあって、IPAの方と話がうまくかみ合わず苦労した覚えがあります。 これはPostgresを利用しているEC-CUBEの上記バージョンにおいて、不正なUTF-8文字コードをリクエストに含めるとエラーが発生し、エラーメッセージとして、PHPSESSIDに紐づいているPHPセッションオブジェクトに入っている情報の先頭680バイト部分(長さは環境による)が、ユーザーのブラウザ上で暴露されてしまう、という脆弱性と、そのエラーメッセージのダンプにタグを含ませることができ、XSSが可能、という脆弱性です。 再現に使ったPostgreSQLのバージョンは9.2.3で、MySQL利用のEC-CUBEだと再現せず、またEC-CUBE2.12.3では同様の攻撃を行っても情報は出力されませんでした。 当時使
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
securitymemo.blogspot.com
securitymemo.blogspot.com
securitymemo.blogspot.com
securitymemo.blogspot.com
www.huffingtonpost.jp
dot.asahi.com
togetter.com
togetter.com
zenn.dev/bmth
togetter.com
anond.hatelabo.jp
vercel.com
developer.chrome.com
qiita.com/hirokazu_nakao
www.itmedia.co.jp
gist.github.com/azu
blog.livedoor.jp/otokomunage_hada_wax
2016/08/30 リンク