代官山蔦屋書店ECサイトのXSS - Heavy Moon

CCCが運営している代官山蔦屋書店はECサイトも運営している。 ドメインはtsite配下だ。 詳細は省くがそこにXSSの脆弱性があることを2014年7月5日の時点で確認した。 古典的な方法で確認する。 （参考：サイト脆弱性をチェックしよう！--第5回：XSSの脆弱性を検査する方法） 商品検索の検索窓に『>'><script>alert('test')</script>』と入力し検索を実行する。 このようにポップアップウィンドウが表示される。 わかりやすくするとこういう状態。 この件に関して冒頭にも書いたように2014年7月5日の時点で確認しており、既にCCC側も状況を確認しているはずである。 既に2週間放置されていることで、脆弱性の情報を公開することよりも、脆弱性のある状況が放置されていることのほうが危険度が上回るのではないか？という判断をし本ブログを書くことにした。 ※archive.o

[pmakino]

「7月5日の時点で確認しており、既にCCC側も状況を確認しているはずである」<通報はしたんですかね?

[fukken]

不正アクセスの幇助ですかね。IPA経由とかで通報しとけよ

[north_korea]

通報しなきゃ気づかんやろw

[co3k]

届出済みかどうかが不明だったので、念のためにこのエントリで脆弱性情報が公開されている旨をウェブサイトの問い合わせ窓口と IPA の報告窓口に連絡しておきました

[shinagaki]

商品検索で「脆弱性」を検索したら「見つかりませんでした。」って出るから、大丈夫なんじゃないかな（適当）

[ngsw]

明日休日やんか……

[itochan]

まあ、ツタヤだし、ちゃんと管理してるだろうY!から、ずさんなTなサイトを経由していろいろ漏れても不思議じゃないよ。

[takanofumio]

そもそも「代官山蔦屋のECサイト」って意味あるんかいな。田舎の人向け？

[T_Haahi]

本人は正義感でこの記事かいたんだろうけど、蔦谷側で何か被害があった場合訴えられそう

[gnufrfr]

だっせーw

[JSONP]

脆弱性の検証ってどこまでOKなんですかね。alertでxss確認するぐらいならいい気がするけど、SQLインジェクションの確認とかだとサーバに影響出るかもしれんからアカン？