各種スピードテストサイトの調査というのを作っており、自宅のネットワークをフルダンプとっているのですが、とあるスピードテストのパケットをみていたときに、脆弱性の可能性になりうる情報を見つけてしまったり。結構いい加減なwebアプリを作っているところが多いようで。
例えば、投稿したデータの情報IDが連番だったりしており、お隣のを入れると、別の人のエリア、回線種別、ハンドル(任意)、メルアド(任意)だったりするものが見えてしまったりする物があるようです。
そこは、hash若しくはランダムの文字列をつかうべきであって…(以下略
パケットダンプを眺めていると、いい加減なものが色々とみえたりしておもしろい物です。
どこのサイトかは言いませんが、気をつけましょう。
そういや、昔とある通販サイトが同じ問題で、第三者の個人情報が丸見えだったことがあり、そのあとの指摘で修正されたことがありました。