2007-11-05 hidden書き換えで単価の変更できるサイト - ockeghem(徳丸浩)の日記 セキュリティ まだまだ、しょぼいのが残っていたりwしますけど、減ってきたのも確か。 hiddenにファイル名を書いているのとか減ったよねw 私が直接見た中でも、単価をhidden(ないしCookie値)で平文で保持していて書き換えのできるECサイトはいくつか経験している。しかし、実際に1円で購入できるかどうかは試したことはない。犯罪行為になる可能性が高いからだ。 幻の魚wwwwww、うまい! 現在はどうか。前述のように、どこまで詐称できるかどうか、実際に1円で物品が購入できるかどうかは別として、hiddenフィールドに単価を保持していて書き換えが出来るサイトは、「珍しいがたまに見かける」くらいには存在する。 すなわち、ネッシーではないが、イトウくらいのレベル(実在を疑う人はいない)での「幻の魚」なのだ。だから、最近脆弱性診断を始めた若いエンジニアが、これを見つけると、「徳丸さん、出ました」と嬉しそうに報告しに来る。そういうところも、「幻の魚」というたとえがふさわしい。
