アカウント名:
パスワード:
また、具体例として位置情報やWebメールをあげさせていただきましたが、他に も au の公式ページにある料金確認ページ等もこれに含まれます。 特に料金が表示されるページは閉じた環境ではなくインターネットから参照可 能であり、QUERY_STRINGに顧客IDがついているため、HTTP_REFERERで伝えられ たURLで特にをそのまま参照可能となっています。 また、この顧客IDが連番なため*極めて危険な状態*になっています。
また、具体例として位置情報やWebメールをあげさせていただきましたが、他に も au の公式ページにある料金確認ページ等もこれに含まれます。
特に料金が表示されるページは閉じた環境ではなくインターネットから参照可 能であり、QUERY_STRINGに顧客IDがついているため、HTTP_REFERERで伝えられ たURLで特にをそのまま参照可能となっています。
また、この顧客IDが連番なため*極めて危険な状態*になっています。
とのこと。詳細が不明ですが、心配です。KDDIで閉じた問題
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
auの公式料金確認ページにも問題ありらしい (スコア:2, 参考になる)
とのこと。詳細が不明ですが、心配です。KDDIで閉じた問題
Re:auの公式料金確認ページにも問題ありらしい (スコア:1, 参考になる)
1. C5001T(Ver 1.0.2.273)で、料金照会ページの[通話料・通信料照会]にアクセス。
2. C5001Tに、HTTP_REFERERを取得するCGIのURLの書いたメールを送付。
3. C5001Tで2.のメールを受信し、書かれているURLへアクセス。
4. 取得したHTTP_REFERERを、A3014Sにメールで送付。
5. A3014Sで、4.のメールを受信し、書かれているURLへアクセス。
6. A3014Sで、1.と同じ内容が表示される。
なんで、サブスクライバIDのチェックをしていないんでしょうね?