2005年10月10日
ライブドアクレジット(旧 ロイヤル信販)の「もえろーん」に、他人のIDでアクセスしてしまうセキュリティホール。→緊急メンテナンスへ
ライブドアクレジット(ライブドアが買収した旧 ロイヤル信販)のオンライン個人向けローン商品「もえろーん」のホームページに、他人のライブドアIDでアクセスできてしまうセキュリティホールがあることがわかった。大佐blog in ニュー速:ライブドアファイナンス祭り・他人のIDで勝手にログイン!?
リンクを踏むだけで、他人のIDでライブドアファイナンスに
ログイン出来てしまう状態にある事が本日分かった
現行スレ(ヤバイかもしれないので>>1のリンクは踏まないように!!!)
http://news19.2ch.net/test/read.cgi/news/1128907263/
158: 2005/10/10 10:57:04 ejCsUwG90
■ライブドア祭りのまとめ■
>>1がライブドアが金融業にも手を広げたのに呆れたという意味でスレを立てる。
↓
リンク先に行くと他人のIDが・・・
↓
>>1のIDか?という疑問が出るが、>>1は否定。真相は不明
↓
セキュリティが甘いのか?という声も出る
↓
コロコロとIDが変わる
↓
どうやらセッションが丸見え状態であるらしいという事が分かる
↓
正直ライブドアには呆れた
要は、>>1のリンクを踏むだけで不特定多数の方のIDでログインできてしまう・・・
という超超危険な状態らしい
確定情報のみ載せました。
現時点で『ログインできてしまった』事が確認出来たIDの方(一部伏せ字)
↓
329: 2005/10/10 11:31:52 yiRY+xk50
ようこそ、di●fractさん
↓
ようこそ、ki●aku_sk2さん
↓
ようこそ、lo●d_to_momokoさん
↓
ようこそ、bas●man888さん
↓
なんだか詳しい方の解説
↓
85: 2005/10/10 16:00:41 kL3ib6rq0 BE:361557959-##
基本postでパラメーター渡してるけど、getでも受け取って普通に表示できちゃうとか、そんな感じじゃね?
大企業にはありえないセキュリティーホール。。
バックドアからAFでドスン!である。
早いとこ改善しないと被害が出てしまうかも。
どうやら、「もえろーん」のサイトのURLにあるセッション情報の文字列が再利用?されていて、そのセッション情報の文字列に記録されているライブドア会員IDで誰でも「もえろーん」アクセスできてしまうようだ。また、周期的にそのセッション情報の文字列に記録されているライブドア会員IDが変わっているようだ。もしかしたら、きわめて危険な状態かも。
【追記】
ライブドアも問題に気づいて、メンテナンスに入った模様。
【あまり関連ないかも】
・プレ子は思いました。「あの郵便配達のお兄さんに会えなくなるのはちょっと残念。軽くやばい感じだったのに」
スポンサード リンク
この記事の内容に関連する書籍はこちら
Posted by ネット証券Blog
│Comments(1)
│TrackBack(2)
この記事へのトラックバックURL
http://app.blog.livedoor.jp/toi/tb.cgi/50137820
この記事へのトラックバック
【大佐blog in ニュー速】によれば、現在ライブドアにて運営されているオンラ...
ライブドアクレジット「もえろーん」にセキュリティーホールの疑い【Garbagenews.com】at 2005年10月10日 21:25
ネタに困ったら、ネット証券Blog (オンライン証券ブログ)を見れば、面白情報が転がっていると信じて止まない私であるが、何だかライブドアがまたやってしまった様である。
続きが気になる人も、気にならない人もランキングにご協力を
ライブドア、本当にしっかりしてくれよ…【アホ理系青年の主張〜あれこれ情報収集分析隊〜】at 2005年10月11日 04:27
この記事へのコメント
載せていらっしゃる>>85の発言は全然意味のない物ですので載せない方が宜しいかと。。
POSTだけでなくGETでもデータ送信可能っていっても、POSTでも自由に自分でデータを変更してデータ送信出来るので。。
セッション文字列関連の脆弱性ですね。ハッシュ生成の種を使い回してる可能性が一番高いですね。てか、こんな脆弱性作る方が難しい。。
POSTだけでなくGETでもデータ送信可能っていっても、POSTでも自由に自分でデータを変更してデータ送信出来るので。。
セッション文字列関連の脆弱性ですね。ハッシュ生成の種を使い回してる可能性が一番高いですね。てか、こんな脆弱性作る方が難しい。。
Posted by モニョミル
at 2005年10月10日 20:51
この記事へのコメントはこちらからどうぞ
