-out of date- ブログ版

--/--/--(--) --:--:--

[] スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2009/12/14(月) 17:55:47

[] セブンネットショッピング、今度はXSS脆弱性が発覚!

セブンネットショッピングで、価格誤表記の次はXSS(クロスサイトスクリプティング)が発覚しました。どんだけー


情報元


512 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/12/14(月) 17:30:00.51 ID:5bnunGe/0
またみつけた
ログインしてないときに有効
ttps://www.7netshopping.jp/esi.svl?start&CID=ESI997&pg_from=%22%3E%3Cscript%3Ealert%28%27XSS%27%29;%3C/script%3E

531 名前:以下、名無しにかわりましてVIPがお送りします[sage] 投稿日:2009/12/14(月) 17:38:40.92 ID:RnnSe6630
>>512
確認した。アウトです。

>>495にも書いたけど、今後はクリックする時は本気で気をつけろ。
「また誤表記!」とかに釣られんなよ。

ユーザーができる対処法

  • セブンネットショッピングからログアウトしておく。
  • 不用意にhttps://www.7netshopping.jp/から始まるリンクをクリックしないこと。
  • XSS脆弱性に対処出来るソフト(FirefoxならNoScriptなど)を導入する。
  • できる事ならブラウザのJavascriptを無効にしておく。
  • できる事ならブラウザのクッキーを削除にしておく。


セブンネットショッピング開発者が出来ること

  • すぐにセブンネットショッピングを一時閉鎖する。
  • PHPサイバーテロの技法―攻撃と防御の実際を読んで、最低限のことを勉強する。
  • 報告に上がってるXSSを修正する。
  • 報告されてないXSSがないか、ソースコードを確認する。
  • 念のため、XSS以外の脆弱性(SQLインジェクション等)もチェックする。

スポンサーサイト

2009/12/14(月) 07:20:56

[] セブンネットショッピングが色々と酷い件。

価格誤表記の件でセブンネットショッピングにアクセスしましたが、なんか色々と酷いです。


多発する文字化け。

サイトを見てるとやたら発生する文字化け。原因を調べてみたら、HTMLとHTTPヘッダの文字コードが一致してない。HTMLがshift_jisに設定されてるのにHTTPヘッダはUTF-8だったりしてます。

HTMLのソース(一部):

<!--header-->
<html lang="ja">

<head>
<!-- あ -->
<meta http-equiv="Content-Type" content="text/html; charset=shift_jis">

HTTPヘッダ(一部):

Content-Type: text/html; charset=UTF-8


ディレクトリ内のファイル一覧を大公開・・・

index.htmlを置き忘れたのか、ファイル一覧が見えてしまってます。Webサーバにtarファイルを置くのはやめましょう・・・


文字コードの一貫性すら取れてないソースコード。

こっちのページはUTF-8だったり、

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
あっちのページはShift_JISだったり、
<meta http-equiv="Content-Type" content="text/html; charset=shift_jis">
そっちのページはEUC-JPだったり、文字コードのオンパレードです。
<meta http-equiv="Content-Type" content="text/html; charset=EUC-JP">
会員サービスのページでは、linkタグがhtmlタグより先に書かれています。酷すぎて泣いた。
<link rel="stylesheet" type="text/css" href="/include/script/order/base_service.css" />
<HTML>


存在しないURLでも「HTTP/1.x 200 OK」。

あからさまに存在しないページでも「正常なURLですよ」という返事(HTTP/1.x 200 OK)をサーバーが返します。最低限、「存在しないよ」という返事(HTTP/1.x 404 Not Found)を返しましょうね。


■関連リンク
「2009 逆風に立ち向かう企業」セブンアンドワイ:システムへの飽くなき愛着が成長の原動力 (1/2) - ITmedia エンタープライズ


※追記※
文字化けしたりしなかったりする理由が分かりました。HTTPヘッダが「UTF-8」を返す場合と、「none」を返す場合があるようです。

Content-Type: text/html; charset=none

2009/12/14(月) 03:02:31

[] セブンネットショッピング、また価格誤表記。

イトーヨーカードーネット通販時代にも価格誤表記が起こしましたが、セブンネットショッピングでもやってしまったようです。


現在までの流れ

  1. 2009年10月17日 イトーヨーカドーネット通販で価格誤表記が発覚。祭りになり大量注文される。
  2. 2009年10月20日 謝罪し、誤表記した価格のままで販売
  3. 2009年12月08日 イトーヨーカドーネット通販が、セブンネットショッピングとしてリニューアルオープン。
  4. 2009年12月08日 オープン直後に価格誤表記が発覚。祭りになり大量注文される。
  5. 2009年12月09日 謝罪し、注文者に2000円分の郵便為替を郵送すると約束。


■関連リンク
asahi.com(朝日新聞社):セブン&アイのネット通販サイト、商品価格の誤表記で1人2000円のお詫び
セット通販商品に単品価格、セブン&アイがミス : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞)
セブン&アイの通販サイトで価格の誤表示、原因は入力作業ミスか - ニュース:ITpro

2008/11/29(土) 16:16:59

[] 「930SC OMNIA」が常に圏外、やっぱりバグでした。


ソフトバンクから昨日発売されたSoftBank 930SC OMNIAですが、常に圏外になる不具合が発生しているようで販売を停止すると発表しました。


発売を記念して渋谷に雪が降るイルミネーションイベントをやってるらしいですが、このままだと「930SC OMNIA」の存在が雪のように儚く消えてしまいそうで心配です。


■参考リンク
SoftBank 930SC OMNIAに関するお知らせ | SoftBank
SoftBank 930SC OMNIA | SoftBank
ソフトバンク、「930SC OMNIA」の販売を一時停止
「930SC OMNIA」渋谷に雪が降るイルミネーションイベント

2008/10/29(水) 04:14:36

[] 開発はグダグダだけど、とりあえず発売するよ!



SOCOM II: U.S. NAVY SEALs以来4年振りに日本で発売されるSOCOMシリーズの最新作、SOCOM: CONFRONTATION。当然、期待された作品でしたが一部機能を未実装のまま発売することが決定しました。全ての機能が使えるようになるには最短でも3ヶ月かかるそうです。



  • トロフィー機能:2008年11月下旬以降予定
  • クイック対戦機能、トーナメント戦機能、カレンダー機能:2008年12月下旬以降予定
  • クラン順位戦機能:2009年 1月下旬以降予定


海外では既に発売されていますが、海外レビューサイトの評価はそれなりにズタズタです。



GameDaily5.0/10 (Bad)
GameSpot6.5/10 (fair)
1UP.comC+/A+


SOCOMの本来の開発元であるZipper Interactiveが、もうひとつのPS3版「SOCOM」に取り組み中という噂もあるのでそっちに期待しましょう。



追記(2008.10.31)
SCEJオンラインタイトル情報によると、毎日午後9時から午前0時まで定期メンテだそうです。前作は、毎週月曜・木曜 AM9:00~11:00と一般的な頻度と時間帯だったんですが、今作はやっぱり何かおかしいです。



定期メンテナンスのお知らせ
午後9時から午前0時まではサーバの定期メンテナンス時間枠です。
時間枠内であってもメンテナンスが終了次第、お楽しみ頂けます。
ご迷惑をお掛け致しますが、ご理解下さいますよう宜しくお願い致します。
PlayStation.com(Japan) | SCEJオンラインタイトル情報



■参考リンク
SOCOM: CONFRONTATION | 製品版の機能に関するご案内

2008/10/28(火) 18:56:20

[] Media Manager for PSPをインストールしようとしてるヤツ、ちょっと待て!



PlayStation StoreのPC版Storeリニューアルオープンに合わせて、Media Manager for PSPがリリースされてますが、インストールするのはちょっと待った方がいいです。



何故なら、なぜか「install.exe」やら「VC_RED.cab」やらDドライブ直下にゴミファイルを大量に作りやがります。Cドライブにインストールしたのに、Dドライブが勝手に使われてる理由も良く分かりません。



現状、ソニーの黒歴史「CONNECT Player」に似た匂いがするので、この問題が解決したバージョンが出てからダウンロードした方が身の為です。




追記(2008.10.29):
Dドライブにゴミファイルをばら撒く原因は、Visual C++ 2008 再頒布可能パッケージ (x86)でした。こいつがDドライブをTempとして利用しているようです。



■参考リンク
PlayStation®Store - Media Manager for PSP® (PlayStation®Portable)

2008/10/28(火) 03:06:24

[] Fable II、海外では既に発売!高評価とフリーズの噂。



日本では12月18日発売予定のFable IIですが、海外では既に10月21日に発売されてます。海外レビューで高評価を受けてるようですが、一部のユーザから本体のフリーズなども報告されているようです。Amazon.comでもそんな報告がちらほらとあがっているようです。



日本語版が発売されるまでに全て解決していることを祈りましょう。:)



■参考リンク
Game*Spark - : 海外レビューハイスコア 『Fable II』 by Miu

2008/04/04(金) 00:25:36

[] ロケットスタジオの脅威、再び。海腹川背 Portableをバグてんこ盛りでリリース。



(PSP本体を買ったら)買おうと思っていたゲームがまたひとつ消えた。
ま、旧作がバーチャルコンソール(初代)かゲームアーカイブス(旬)で配信されることを祈りましょう。

開発元のロケットスタジオは販売休止まで追い込まれたカルドセプトサーガに続いてやらかしちゃってます。「ドラゴンクエスト モンスターバトルロード」もこの会社が開発元らしいですが、そっちの方は大丈夫なのでしょうか?

販売元のマーベラスエンターテイメントは、牧場物語 しあわせの詩&コロボックルステーションのバグの時は回収対応したらしいですが、今回はどうするつもりなんでしょうか。3月6日にクオリティアップを理由に発売日の延期を判断した後、ほぼ1週間後の3月14日に延期撤回&販売を3月27日に決定しているあたり、売り逃げする気マンマンにみえますが。「バグはゲームの世界観」は流行語大賞を狙える名言だと思います。

◎参考リンク
海腹川背Portable要望まとめwiki
【続きを読む】

2008/03/15(土) 17:32:58

[] トレンドマイクロ、会社自体がウイルスになりました。



トレンドマイクロは、自社のウイルス情報ページが改ざんされていたと発表。
約30ページが「JS_DLOADER.TZE」に感染するように書き換えられた模様。

改ざんされたのが3月9日21時頃、ページを閉鎖したのが3月12日11時30分なので、約2日半の間はウイルスをばら撒き続けてたようです。
ウイルス対策ソフトメーカがウイルス配布するって、どんだけマッチポンプなんだか。

前回はウイルスバスターがウイルス並に大暴れしましたが、今回は会社のWebサーバが大暴れですよ。 あえて言おう、カスであると!

当該ページをご覧になられたお客様は、ご使用になられているウイルス対策ソフトもしくは、弊社オンラインスキャンをご利用いただき、パターンファイルを最新版に更新した後、パソコン内のウイルス検索を行っていただきますようお願いします。


「ウイルス検索を行っていただいて」、、、感染してたらどうするの?
ウイルス対策ソフトメーカなら駆除する方法も提供しようよ・・・

2008/03/01(土) 15:16:33

[] 「うるう年問題」が各所で発生。

「2000年問題」に懐かしさが漂う今日この頃ですが、
同種の問題である「うるう年問題」はまだまだ現役で頑張ってるようです。


1. NTT東西、STBが起動できなくなる不具合。

現象:
動画配信サービス「4th MEDIA」用STB(Picture Mate 300)の主電源をOFF/ONすると、
機器が正常に起動できなくなる(!)症状が発生する。

原因:
おそらく起動時に日付関連の処理を行っていて、
うるう年(2/29)の処理部分のバグがあるせいで起動できなくなっている模様。

対処:
とりあえず、主電源切らないで!(笑)
(追記) 3/1以降に主電源をOFF/ONすれば直るそうです。

関連リンク:
ブロードバンド映像受信端末 「Picture Mate (ピクチャーメイト)300」の不具合について(NTT)
うるう年でエラー NTT東西の動画配信STBに不具合 (ITmedia News)
うるう年で不具合 NTT東日本の映像配信サービス (MSN産経ニュース)
公衆電話、うるう年で不具合3200台 (MSN産経ニュース)
NTT東西、映像受信端末で不具合・うるう年設定に問題(NIKKEI NET)


2.ソニー、ワンセグ「ウォークマン」で録画ができなくなる不具合。

現象:
2/29の番組表情報が正常に取得できない為、
番組表から録画予約や録画ができない現象が発生する。

原因:
「2月28日以前に29日の番組を予約した場合は、正常に録画される。」とのことなので、
うるう年(2/29)のEPG受信周りにバグがあったんじゃないかと予測してみる。

対処:
とりあえず、手動で録画して!(笑)

番組表 (EPG) の不具合に関するお詫びとお願い (ソニー)
ソニー、ワンセグ「ウォークマン」に“うるう年”問題


3. 公衆電話、うるう年問題で使えなくなる。

関連リンク:
公衆電話故障の原因は「うるう年」 - ITmedia エンタープライズ
うるう年の処理ミスで公衆電話が故障 - 社会ニュース : nikkansports.com
公衆電話、うるう年で不具合3200台 - MSN産経ニュース


4. サッカーくじ「toto」、うるう年問題で一時販売停止。

関連リンク:
サッカーくじ「toto」 一時ファミマで売れず (MSN産経ニュース)
サッカーくじ、コンビニで販売停止/サッカー速報 (デイリースポーツonline)
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。