-out of date- ブログ版

--/--/--(--) --:--:--

[] スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2009/12/14(月) 17:55:47

[] セブンネットショッピング、今度はXSS脆弱性が発覚!

セブンネットショッピングで、価格誤表記の次はXSS(クロスサイトスクリプティング)が発覚しました。どんだけー


情報元


512 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/12/14(月) 17:30:00.51 ID:5bnunGe/0
またみつけた
ログインしてないときに有効
ttps://www.7netshopping.jp/esi.svl?start&CID=ESI997&pg_from=%22%3E%3Cscript%3Ealert%28%27XSS%27%29;%3C/script%3E

531 名前:以下、名無しにかわりましてVIPがお送りします[sage] 投稿日:2009/12/14(月) 17:38:40.92 ID:RnnSe6630
>>512
確認した。アウトです。

>>495にも書いたけど、今後はクリックする時は本気で気をつけろ。
「また誤表記!」とかに釣られんなよ。

ユーザーができる対処法

  • セブンネットショッピングからログアウトしておく。
  • 不用意にhttps://www.7netshopping.jp/から始まるリンクをクリックしないこと。
  • XSS脆弱性に対処出来るソフト(FirefoxならNoScriptなど)を導入する。
  • できる事ならブラウザのJavascriptを無効にしておく。
  • できる事ならブラウザのクッキーを削除にしておく。


セブンネットショッピング開発者が出来ること

  • すぐにセブンネットショッピングを一時閉鎖する。
  • PHPサイバーテロの技法―攻撃と防御の実際を読んで、最低限のことを勉強する。
  • 報告に上がってるXSSを修正する。
  • 報告されてないXSSがないか、ソースコードを確認する。
  • 念のため、XSS以外の脆弱性(SQLインジェクション等)もチェックする。

スポンサーサイト

2009/12/14(月) 07:20:56

[] セブンネットショッピングが色々と酷い件。

価格誤表記の件でセブンネットショッピングにアクセスしましたが、なんか色々と酷いです。


多発する文字化け。

サイトを見てるとやたら発生する文字化け。原因を調べてみたら、HTMLとHTTPヘッダの文字コードが一致してない。HTMLがshift_jisに設定されてるのにHTTPヘッダはUTF-8だったりしてます。

HTMLのソース(一部):

<!--header-->
<html lang="ja">

<head>
<!-- あ -->
<meta http-equiv="Content-Type" content="text/html; charset=shift_jis">

HTTPヘッダ(一部):

Content-Type: text/html; charset=UTF-8


ディレクトリ内のファイル一覧を大公開・・・

index.htmlを置き忘れたのか、ファイル一覧が見えてしまってます。Webサーバにtarファイルを置くのはやめましょう・・・


文字コードの一貫性すら取れてないソースコード。

こっちのページはUTF-8だったり、

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
あっちのページはShift_JISだったり、
<meta http-equiv="Content-Type" content="text/html; charset=shift_jis">
そっちのページはEUC-JPだったり、文字コードのオンパレードです。
<meta http-equiv="Content-Type" content="text/html; charset=EUC-JP">
会員サービスのページでは、linkタグがhtmlタグより先に書かれています。酷すぎて泣いた。
<link rel="stylesheet" type="text/css" href="/include/script/order/base_service.css" />
<HTML>


存在しないURLでも「HTTP/1.x 200 OK」。

あからさまに存在しないページでも「正常なURLですよ」という返事(HTTP/1.x 200 OK)をサーバーが返します。最低限、「存在しないよ」という返事(HTTP/1.x 404 Not Found)を返しましょうね。


■関連リンク
「2009 逆風に立ち向かう企業」セブンアンドワイ:システムへの飽くなき愛着が成長の原動力 (1/2) - ITmedia エンタープライズ


※追記※
文字化けしたりしなかったりする理由が分かりました。HTTPヘッダが「UTF-8」を返す場合と、「none」を返す場合があるようです。

Content-Type: text/html; charset=none

2009/12/14(月) 03:02:31

[] セブンネットショッピング、また価格誤表記。

イトーヨーカードーネット通販時代にも価格誤表記が起こしましたが、セブンネットショッピングでもやってしまったようです。


現在までの流れ

  1. 2009年10月17日 イトーヨーカドーネット通販で価格誤表記が発覚。祭りになり大量注文される。
  2. 2009年10月20日 謝罪し、誤表記した価格のままで販売
  3. 2009年12月08日 イトーヨーカドーネット通販が、セブンネットショッピングとしてリニューアルオープン。
  4. 2009年12月08日 オープン直後に価格誤表記が発覚。祭りになり大量注文される。
  5. 2009年12月09日 謝罪し、注文者に2000円分の郵便為替を郵送すると約束。


■関連リンク
asahi.com(朝日新聞社):セブン&アイのネット通販サイト、商品価格の誤表記で1人2000円のお詫び
セット通販商品に単品価格、セブン&アイがミス : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞)
セブン&アイの通販サイトで価格の誤表示、原因は入力作業ミスか - ニュース:ITpro

2008/12/02(火) 13:14:02

[] ジルオール(PSP版)、発売延期に。


コーエーは2008年12月25日に発売予定だったジルオール インフィニット プラスの発売日を、2009年01月22日約1ヶ月延期すると発表しました。


同社は今回の延期について、「現在鋭意開発を進めておりますが、お客様により満足して頂ける作品とするために更なる品質向上を図るべく、今しばらくの時間が必要と判断いたしました。発売を心待ちにされているユーザーの皆様をはじめ、ご関係者様各位には誠に申しわけございませんが、何卒ご理解を賜りますよう、よろしくお願いいたします」とコメントしている。


新規開発タイトルじゃないのに品質向上の為の発売延期ってどんだけー。年末年始にPSP版ジルオールやる予定だった人は、PS2版ジルオールで我慢しましょう。


■参考リンク
『Zill O’ll ~infinite plus~』 (PSP®版) 発売日変更のお知らせ
コーエー、PSP『Zill O'll ~infinite plus~』の発売日を変更 | ホビー | マイコミジャーナル

2008/11/30(日) 14:17:47

[] 「930SC OMNIA」が常に圏外になる原因は教えないけど、販売再開したから買ってくれ!


常に圏外になる不具合で販売停止となっていたSoftBank 930SC OMNIAですが、不具合の原因を公表しないまま販売を再開するそうです。しかも、既に買ってしまったユーザーはとりあえず放置(後日別途ご案内)するようです。


ソフトバンクからのお知らせ

2008年11月30日
(更新)SoftBank 930SC OMNIAに関するお知らせ

 平素はソフトバンクをご利用いただき誠にありがとうございます。

 昨日より販売を一旦停止しておりました「SoftBank 930SC OMNIA」について、本日(11月30日)より、一部の店舗にて販売を再開いたしました。
※在庫の準備が整い次第、順次販売店舗を拡大してまいります。

 昨日までにご購入いただきましたお客さまへの対応につきましては、後日別途ご案内させていただきます。

 本件に関しまして、お客さまにお手数をおかけしますことを、深くお詫び申し上げます。

以上


動作確認して圏外にならない本体を販売しているだけで、実際は原因の解明に至ってないんじゃないかと小一時間問い詰めたい。


■参考リンク
(更新)SoftBank 930SC OMNIAに関するお知らせ | SoftBank
ソフトバンク、「930SC OMNIA」の販売を一時停止

2008/11/25(火) 17:09:24

[] はてブ、えらく重くなって使いにくくなりました。



今日からはてなブックマークの新バージョンを正式に公開しました。んが、トラブル無くスタートとはいかなかったようです。


メンテナンスが4時間延長されると聞いた時点で嫌な予感はしていたんですが、いざ12時過ぎに公開になってみると「見れない(503エラー)」「見れても重い」「見難い(デザイン変更で)」となかなかの嫌がらせ仕様。今のところ、旧バージョンが恋しくなる仕上がりです。


現在も安定化作業を行っているようですが、安定化したらまずブックマークデータのエクスポートを実施したいと思っております。



今困っていること

  • ブックマークが削除できなくなった。
    削除方法が変わっただけだと思うが、いまのところその方法が分かりません。
    冗談じゃなくてマジで分かりません

    分かりました。Javascriptを無効にしたら、ひょっこり出てきましたw
    削除ボタンを通常状態で表示せずにマウスオーバーで表示するとか、はてなは大丈夫なのか?



■参考リンク
はてな、「はてなブックマーク」をリニューアル : CNETニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
はてな、「はてなブックマーク 2」を初披露--mixiやTwitterとの連携も視野に - VENTURE VIEW
はてなブックマークが刷新、全文検索やお気に入られ機能など追加
「もうITの話題だけじゃない」---はてなブックマークのリニューアル,全貌が明らかに:ITpro
「はてなブックマーク2」登場へ - 全文検索、話題の多様化を狙う機能も追加 | ネット | マイコミジャーナル

2008/10/31(金) 17:36:28

[] ソニー爆弾、再び。PC用バッテリー、10万個自主回収へ。

2年前にもバッテリー自主回収をやりましたが、またやりやがりました。



さすがSONY!おれたちにできない事を平然とやってのけるッ
そこにシビれる!あこがれるゥ!



被害を受けたメーカーはHP・東芝・Dellで、全世界で約100,000個(そのうち日本では約2,000個)を回収するそうです。報告を受けて分かっているだけでも、既に事故が40件も発生しています。器物損傷も起こってるのがヤバイ。



今回の自主回収に関連して弊社が報告を受けた電池セル起因の事故件数は、全世界で40件であり、その中には軽度の火傷4件、軽度の器物損傷21件を含みます。
「一部PCメーカーによるノートブック型コンピューター用電池パック自主回収」への協力について



ちなみに、2年前のバッテリー自主回収(約960万個)はまだ半分も回収できてない状態で、当然ですが自主回収発表後も発火事故が起こっています。もうちょっと本気出して回収しませんか?



■参考リンク
Sony Japan|プレスリリース | 「一部PCメーカーによるノートブック型コンピューター用電池パック自主回収」への協力について
HP製ノートブックPCバッテリーパック交換プログラム
ノートブックPC用バッテリの自主回収に関する更新情報
ソニーのバッテリーでまたリコール、HP・東芝・デル製ノートPCに搭載 - Engadget Japanese
PC Notebook Computer Batteries Recalled Due to Fire and Burn Hazard
ソニー、過剰発熱の可能性があるソニー製ノートPC用電池パックを自主回収へ:ニュース - CNET Japan
スラッシュドット・ジャパン | ソニー製バッテリーセルを使用したノートPC用バッテリーに回収命令

2008/10/29(水) 04:14:36

[] 開発はグダグダだけど、とりあえず発売するよ!



SOCOM II: U.S. NAVY SEALs以来4年振りに日本で発売されるSOCOMシリーズの最新作、SOCOM: CONFRONTATION。当然、期待された作品でしたが一部機能を未実装のまま発売することが決定しました。全ての機能が使えるようになるには最短でも3ヶ月かかるそうです。



  • トロフィー機能:2008年11月下旬以降予定
  • クイック対戦機能、トーナメント戦機能、カレンダー機能:2008年12月下旬以降予定
  • クラン順位戦機能:2009年 1月下旬以降予定


海外では既に発売されていますが、海外レビューサイトの評価はそれなりにズタズタです。



GameDaily5.0/10 (Bad)
GameSpot6.5/10 (fair)
1UP.comC+/A+


SOCOMの本来の開発元であるZipper Interactiveが、もうひとつのPS3版「SOCOM」に取り組み中という噂もあるのでそっちに期待しましょう。



追記(2008.10.31)
SCEJオンラインタイトル情報によると、毎日午後9時から午前0時まで定期メンテだそうです。前作は、毎週月曜・木曜 AM9:00~11:00と一般的な頻度と時間帯だったんですが、今作はやっぱり何かおかしいです。



定期メンテナンスのお知らせ
午後9時から午前0時まではサーバの定期メンテナンス時間枠です。
時間枠内であってもメンテナンスが終了次第、お楽しみ頂けます。
ご迷惑をお掛け致しますが、ご理解下さいますよう宜しくお願い致します。
PlayStation.com(Japan) | SCEJオンラインタイトル情報



■参考リンク
SOCOM: CONFRONTATION | 製品版の機能に関するご案内

2008/06/03(火) 11:09:27

[] ethna.jpやjp2.php.netが乗っ取られる。原因は、さくらインターネットの経路汚染。

原因:
今回の脆弱性は「ARP Spoofing」とのこと。
調べてみると、スイッチに不正な情報を投げて
経路汚染を起こさせるらしいです。
The Weekly Herald | ARPスプーフィングで通信傍受!
ARP SPOOFING
スイッチ・セキュリティーソリューション | LAN環境での不正アクセス対策
DNSパケットの横取り対策

被害状況:
被害を被ったと報告されているのは、以下のサイト。
  • jp2.php.net
  • ethna.jp
  • yuzu-soft.com

現在の状態:
経路汚染は現在は復旧していますが、
ethna.jpはさくらインターネットから逃げ出したそうです。

■関連サイト
ethna.jp のコンテンツに 不正な iframe タグが埋め込まれた件 , sourceforge.jp への移行について
ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな
お 知 ら せ // さくらインターネット サポート

2008/04/04(金) 00:25:36

[] ロケットスタジオの脅威、再び。海腹川背 Portableをバグてんこ盛りでリリース。



(PSP本体を買ったら)買おうと思っていたゲームがまたひとつ消えた。
ま、旧作がバーチャルコンソール(初代)かゲームアーカイブス(旬)で配信されることを祈りましょう。

開発元のロケットスタジオは販売休止まで追い込まれたカルドセプトサーガに続いてやらかしちゃってます。「ドラゴンクエスト モンスターバトルロード」もこの会社が開発元らしいですが、そっちの方は大丈夫なのでしょうか?

販売元のマーベラスエンターテイメントは、牧場物語 しあわせの詩&コロボックルステーションのバグの時は回収対応したらしいですが、今回はどうするつもりなんでしょうか。3月6日にクオリティアップを理由に発売日の延期を判断した後、ほぼ1週間後の3月14日に延期撤回&販売を3月27日に決定しているあたり、売り逃げする気マンマンにみえますが。「バグはゲームの世界観」は流行語大賞を狙える名言だと思います。

◎参考リンク
海腹川背Portable要望まとめwiki
【続きを読む】
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。