各種スピードテストサイトの調査というのを作っており、自宅のネットワークをフルダンプとっているのですが、とあるスピードテストのパケットをみていたときに、脆弱性の可能性になりうる情報を見つけてしまったり。結構いい加減なwebアプリを作っているところが多いようで。
例えば、投稿したデータの情報IDが連番だったりしており、お隣のを入れると、別の人のエリア、回線種別、ハンドル(任意)、メルアド(任意)だったりするものが見えてしまったりする物があるようです。
そこは、hash若しくはランダムの文字列をつかうべきであって…(以下略
パケットダンプを眺めていると、いい加減なものが色々とみえたりしておもしろい物です。
どこのサイトかは言いませんが、気をつけましょう。
そういや、昔とある通販サイトが同じ問題で、第三者の個人情報が丸見えだったことがあり、そのあとの指摘で修正されたことがありました。
|
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。
相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。
また、この日記へのリンクは原則自由にして頂いても結構ですが、
写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。
カテゴリ一覧
Network,
Internet,
IPv6,
DC,
NTT,
Comp,
Linux,
Debian,
FreeBSD,
Windows,
Server,
Security,
IRC,
大学,
Neta,
spam,
食,
生活,
遊び,
Drive,
TV,
仕事,
過去日記:
2009年01月17日(土) [晴れ]
* [Network] 自宅のネットワークをダンプしてたら…
[ コメントを読む(0) |
コメントする
]
Diary for 1 day(s)
Powered by hns
HyperNikkiSystem Project
(c) Copyright 1998-2014 tomocha. All rights reserved.