TrendMicro の Web System どうやらWindows + ASP + MSSQLで構築されているようだ。
それはいいんだけど、どうも彼らはセキュアなデザインという視点に欠けているように思える。
QandAシステムはDBから直接引くASPで構成されているようなのだけど、
それに非常に初歩的で、破壊的な脆弱性があったのだ。
そのASPはsolutionIDというパラメータをとるのだが、
正当性チェックをいっさい行わずに出力htmlやSQL文に組み込んでいた。
前者はXSS(Cross Site Scripting)が可能だということ、後者は任意のSQL文を送り込める事を意味する。
つまり偽のページでだましたり、Cookieを盗み取ることが可能であり、
そしてDB接続アカウントの権限次第では全データ及びtableを破壊することが可能だった可能性が高い。
対策…根本的な対策をしたんだよね?
私が示したサンプルURLの書式をフィルタしただけじゃなく、
正当な値(固定桁以下の数値)以外ははじくようにしたんだよね?(汗
--------
TrendMicroに報告した(6/27 10:00)ときは何にもリアクションがなかったのだけど、
Tea Room for Conference で「こっそり直して報告もお礼もない」と書いた(6/30 10:03)2時間後(同 11:57)に
「対応修正しました」ってメールがきました。
タイミングいいけど、もしかしてみてた?(笑)
しかし、事実確認した時点で報告者に連絡するという考えに及ばないかね、普通。
対応する気があるのかどうかが見えてこない。
仮にもセキュリティを掲げた会社にしては、セキュリティインシデント対応が甘い。
特に今回の脆弱性はおもしろ半分に破壊しようとする人が出てきてもおかしくはない。
別にお礼の品をよこせとは言わないけどね。
(TrendMicroの製品に別に欲しい物はないし、
謝礼金渡されても困る)
----
14:28 初出日付などの誤記を訂正
6/27 うぅ、日付だけは元のままでよかった