パスワードを忘れた? アカウント作成
10833769 submission

mixiの運営するサイト「ショッパーズアイ」で任意のOSコマンドを実行できる脆弱性が見つかる

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
mixiが運営するサイト「ショッパーズアイ」にて、外部からOSコマンドを実行できるという脆弱性があったことが判明した。外部のエンジニアが発見して連絡したところ、「既知の脆弱性である」との判断がされたという(mixi脆弱性報告制度:評価対象外になったもの — WEB系情報セキュリティ学習メモ)。

mixiは昨年9月30日より、賞金付きの脆弱性報告制度を開始し、外部からの脆弱性報告を募っていた。今回発覚した脆弱性は「リモートからWebサーバー上で任意のコードが実行可能」という深刻なもので、「100万円」の報酬が提示されていたが、「基地の脆弱性である」との判断で報酬の対象外になったという。

また、URLのパラメータを変更することでページ内のプルダウンメニューの項目を非常に大きな数に変更できるという、DoS攻撃を容易にする仕様についても報告したがこちらも「既知」とされてしまったそうだ。ちなみに報告者は過去にmixiに対し別の脆弱性を報告し報酬を手に入れている
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...