PSU課金システムで利用者情報漏洩の脆弱性?
ファンタシースターユニバースのメール情報で知ったのですが、「課金システムにおけるセキュリティ上の不備について」という情報が載りました。
どうもログインできた利用者のアクセス権で別人の情報が読めた、ということなのですが、
- 利用者ID等をhidden、またはQUERY_STRINGで引き渡ししていた
- セッション管理でshared/staticな変数に情報を保存していた
あたりのどちらかっぽいのですが、後者は確率論ですから、100%ヒットする設計ミスなら前者の可能性がありそうです。
ログが正常に残っていれば調査は可能でしょうが、ログ周りの運用は結構アバウトだったりするので最悪漏れたことに気づかない可能性もありそうです。
Webアプリケーションはこのへんの設計が重要なところですから、IPAのセキュア・プログラミング講座などをチェックするのも手ですね。
今日の夕飯:エキナカ カレー(笑)
Comments