キャッシュレス・消費者還元事業サイトの検索APIの実装が思ったよりすごかった
皆さん、キャッシュレス決済してますか? 僕は現金を月 1 万使うかどうかぐらいのキャッシュレス生活を送っています。どら(@d0ra1998)です。 さて、こちらのキャッシュレス・消費者還元事業サイト、ご覧になりましたか? アプリも出ていますが、なんか重いんですよね。 アプリの方は面倒な気がして、Web 版の通信を眺めていたらなかなかすごい実装が見えてきたので、まとめてみました。 おことわり#本記事に掲載の情報などは、「検索画面」(キャッシュレス・消費者還元事業)( https://map.cashless.go.jp/search )より得られるデータを加工して作成しています。 ヤバポイント ①: 位置検索 API に情報が全く含まれず、デカイ JSON ファイルを別で見に行く# 地図上で「このエリアを検索」ボタンを押すと、緯度経度を元に絞り込む API を叩きに行きます。ここまではいいの
JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
