本当にあった怖い脆弱性の話
2022/04/11 15:11
cive
こわすぎゆ
2022/04/11 16:06
hatest
逆に怖くない脆弱性ってあるの?
2022/04/11 16:19
Wafer
PHPはバージョンアップを経てそこそこ言語としての体裁を整えつつあるけど、PHPしか使えないプログラマが優秀なことはまずない。PHPも使える人なら大丈夫だけど
2022/04/11 16:36
civicpg
これを社名など隠してるにしろ、公開していいのかが怖い
2022/04/11 16:58
prograti
個人情報に関わるファイルを物理ファイルとして非公開領域に保存してますが、そもそも物理ファイルとして保存するかどうかも議論の余地があるかなと思います。
2022/04/11 17:34
masaharu_jp
パスワードを平文で保存している現場があったことを思い出した。
2022/04/11 17:40
deep_one
まれによくある。/やばい情報はプログラムがアクセスできるがウェブサーバーはアクセスできない所に置いたりしていたな。
2022/04/11 17:52
masudatarou
影響が軽い、もしくは自分に関係がない脆弱性は別に怖くないだろ
2022/04/11 18:30
mohno
相手が××証券とか題材が免許証ってのが怖いところだな。これだとSQLインジェクションくらいあっても不思議はなさそうというか。
2022/04/11 18:43
Rishatang
GitHubのissueとかに画像貼るとプライベートリポジトリでもパブリックなURLで生成されるけど、あれ誰も何も言わないなとは思ってる
2022/04/11 19:02
kamezo
半分も理解できたか自信がないが「これぐらいのwebサービス、ちゃちゃっと作れるよね」みたいなことを言い出す人に見せるのにいいかもしれない。怒られるかな。
2022/04/11 19:09
sirobu
JCOのバケツ臨界の話と合わせて読むと技術者だから知ってて当然じゃなくて啓蒙活動が必要だよなぁ、とおもた
2022/04/11 19:35
vanish_l2
CGでしょ?
2022/04/11 19:53
lionsage
この証券会社は脆弱性診断やってないのかな。
2022/04/11 20:11
jaguarsan
ここで紹介されてんの、どれも仕様の脆弱性なのでツールだと見つけらんないんだよな。CSRFならギリギリ。ツール流すしかしない業者だと見つけらんないよ
2022/04/11 20:16
agricola
ユーザ入力からクエリを生成する処理で特殊文字をエスケープしておらず、悪意ある入力で簡単にDBを飛ばせるAccessVBAの案件とかあったな。目の前でデモして修正作業の承認を取り付けたわ(苦笑
2022/04/11 20:17
ozomatli
外部公開するサービスは絶対第三者機関による脆弱性チェックを受けるべき
2022/04/11 20:25
mysql8
ノンフィクション
2022/04/11 20:26
kotas
免許証画像大公開、残高増やし放題。どれも一線級ですごい…
2022/04/11 20:40
Crone
市役所の方が低期間低コストで作りました、ってのを聞くたび応援しつつもセキュリティインシデントはすごく心配してる。良かれと思ったのに怒られて、組織が逆に保守的になって改善から遠ざかってしまうから。
2022/04/11 20:43
irimo
悪意の管理者、パスワード再発行のメールをシステムから取得してパスワードリセット😳クラウドの中の人に悪意の人はいないんですかねw
2022/04/11 20:44
nui81
おわかりいただけただろうか
2022/04/11 20:50
koubyint
生々しい、、怖っ!!
2022/04/11 20:51
toruhjp
不謹慎ながら、すごく好き。キットカットより好き。
2022/04/11 21:23
John_Kawanishi
「URLはRandom(Hash値)なんだからURL知られない限り」「URLさえ知っていれば世界中誰でも見れる」
2022/04/11 21:29
nyasu0123
す
2022/04/11 21:46
homarara
パスワードを平文保存しなくたって、悪意の管理者がDBにアクセスできる時点でどうにもならんけどね。
2022/04/11 22:47
pandafire
こういうの悪いけど聞く分にはむっちゃ楽しい。私も暴露したいすごい脆弱性の話いろいろある。
2022/04/11 22:54
unsoluble_sugar
こわい
2022/04/11 23:08
coppieee
「URLさえ知っていれば世界中誰でも見れる」 これ、第三者がURL知るすべがなければ問題なくない?
2022/04/11 23:10
pixmap
金融関連のシステムがPHPっていう時点で相当ヤバい。
2022/04/11 23:32
toaruR
松井証券の例はパスをハッシュ化してても防止できなかったと思うよ\(^o^)/
2022/04/11 23:33
nakachop
プログラミングって難しいね
2022/04/11 23:39
Watson
ホラー
2022/04/11 23:48
moromoro
ネタにもならん怖さやね。ブクマで第三者脆弱性チェック進めてるので補足したいけど、ちゃんと選ばないとスキャンツールかけただけの糞レポートを100万で買わせてくるから気をつけてね!大手より中堅のがいいかもね
2022/04/11 23:59
slash_01
怪談話するには季節がちょっと早いかなぁ。
2022/04/12 00:12
rrringress
あわわわ
2022/04/12 00:18
kazuau
自分なら、たとえこのクライアントがいいよと許諾しても自分の名前を出して公開できないなこれは
2022/04/12 00:20
zyzy
PHPはともかくWordPressはよほど本体に詳しくないと金のやりとりが絡む奴には使いたくないな……
2022/04/12 00:30
at_yasu
せめて owasp の資料を読んでから開発しようって言いたくなる…本当に…
2022/04/12 01:11
napsucks
セッション管理周りはほんと危ないよね。逆に固めすぎると戻るボタンでエラーになるという悪罵したくなるようなUIデザインになるけど。
2022/04/12 01:22
oldriver
「平文NG」というと「暗号化すればOKやな」となるので間違い。本当に言うべきは「可逆暗号」「不可逆暗号」かと。
2022/04/12 01:25
tianbale-battle
ホラー
2022/04/12 01:27
tivrsky
勉強になります。。
2022/04/12 04:34
sisya
しかもこれ、自社開発でコーダーがまずいことを指摘しても設計側が「コストがない」という理由で握りつぶすような話も多々耳にするので、資金不足でユーザにリスク背負わせる設計者には滅んでほしいと思う。
2022/04/12 05:11
hihi01
素人の私でも怖さが伝わります。
2022/04/12 05:50
daruyanagi
ヤバすぎんだろ……背筋寒くなったわ
2022/04/12 06:36
hubtoyo
こ、これはあれだよね。個別の例はそれぞれ別のシステムで実際にあった案件で、それらを寄せ集めて証券会社のシステムというストーリーに仕立てたんだよね?ね?ね?
2022/04/12 07:45
sds-page
個人情報扱うWebシステム触りたくない。金勘定扱うのはもっとやりたくない
2022/04/12 08:15
knok
github issueの画像も誰でも見られるんだよね…と書こうと思ったら既に同じコメントがあった
2022/04/12 09:11
door-s-dev
パスワードの平文保存はユーザー側がこうゆうサービスを使わないとかにならないと無くならんやろね
2022/04/12 09:18
noname774300
おもろ!
2022/04/12 09:32
fut573
守秘義務がなければこの手の3つくらい書きたい。
2022/04/12 09:38
sisicom
入らないように
2022/04/12 09:50
nkym_san
こんなことあるんだ・・・
2022/04/12 10:07
programmablekinoko
もうログインとかURLルーティングを面倒見てくれるWeb用のDSLを作ったほうが良いと思うんだよな。フレームワークは絶対に抜け穴がある
2022/04/12 10:23
Finding
いや怖いのは分かったけど…エンジニアって大変すぎない? これ全部分かってちゃんと作れる人は、ちゃんと稼げてる?
2022/04/12 10:25
yuzuk45
勉強になります
2022/04/12 10:25
fashi
最近DBのパスワードはハッシュ化されてるのにデバッグログに平文載ってるシステムを見た
2022/04/12 10:28
NOV1975
「証券会社というセンシティブ」ここ、多分間違ってる。経験上、銀行以外はそこまでセンシティブじゃなかった。証券会社なんてスピード重視だよ。
2022/04/12 15:54
versatile
色々あるよね。みんな時間がない中、限られた自分の知識を総動員して頑張って作ってるが、それでも考慮もれは出る。人間だもの
2022/04/12 17:52
a96neko
見てる
2022/04/12 21:22
indication
無意識にやってしまっていないか、そこを注意したい。
2022/04/12 22:08
maruiboushi
アップロードされた画像のURLが十分に推測されにくく漏洩もしないなら原理的には安全なはずだが、まさにその特性を持つのがセッションIDなのでそこに抱き合わせてしまうのが良いのはそう。
2022/04/14 20:49
ockeghem
仮パスワードのみ初回ログインまで平文保存すると書いてありますが、仮パスワードを発送したら後はハッシュ値のみでいけますよ