[未解決] 会員ページから他の会員データの改竄

2013 年 8 月 19 日

ホーム フォーラム バグ報告 [未解決] 会員ページから他の会員データの改竄

このトピックには5件の返信が含まれ、2人の参加者がいます。4 年、 1 ヶ月前 hrmiz さんが最後の更新を行いました。

6件の投稿を表示中 - 1 - 6件目 (全6件中)
  • 投稿者
    投稿
  • #53046

    hrmiz
    参加者

    動作に関するご質問の場合は必ずご記入ください。



    WordPress のバージョン:3.5.2

    Welcart のバージョン:1.3.3.1306254

    ご利用のテーマ:カスタム

    症状を確認したブラウザ:Firefox

    サーバー(会社名、サービス名):Xserver

    SSLの利用: 共用SSL

    WordPress のパーマリンク設定:/%category%/%post_id%.html


    会員ページから他の会員情報のメールアドレスやパスワードなどの情報を容易に改竄し、会員のアカウントを乗っ取ることができます。

    手順

    1.Firefox等のブラウザでまず自分の会員情報ページにログインします。

    2.次に、Firefoxの開発ツールから会員情報ページのソースを開きます。

    3.添付した図のように、メールアドレスを変更します。

    4.パスワードを変更します。

    5.member_idを推測で変更します。

    6.ブラウザの送信ボタンを押します。

    7.変更したら送信ボタンを押して完了です。

    これで変更したメールアドレス、パスワードでログインすると、他人のアカウントにログイン出来ます。

    ここが肝心なポイントかと思います。member_idが連番でついている場合には、この数字は容易にいれることができます。たとえ連番でついていないにしても適当な数字を入れてそれが実在する場合には、この操作をすることによって、このmember_idの会員アカウントはメールアドレス、パスワードなど書き換えられていることになります。実際に確認済みです。

    この事に関して開発者様側では、すでに確認されていますでしょうか?

    少なくとも情報の変更に現在のパスワードが必要であるとか、または、member_idをformの値として持たせないような処理が必要なのだと思います。パスワードの変更に関しましても、古いパスワードと新しいパスワードを入力させるようにすれば、このような改竄の事態はかなり避けられるかと思います。

    現状ではいとも簡単にできてしまうため、かなり危険な状態だと思います。

    このあたりの修正を何処で行えばいいのかご指摘いただけると助かります。

    [attachment=11425,291]

    #67460

    nanbu
    参加者

    こんにちは。

    ご指摘ありがとうございます。

    Development Version にて修正いたしましたので、こちらで動作のご確認をいただいてよろしいでしょうか。どうぞよろしくお願いいたします。

    #67461

    hrmiz
    参加者

    nanbu様

    早々にありがとうございます。インストールしてその後の動作結果をご報告させていただきます。

    #67462

    hrmiz
    参加者

    nanbu様

    Development Versionにおける今回の事案の修正を確認いたしました。非常に早い対応をしていただきありがとうございました。

    しかしながら、1点だけご報告させていただきます。

    会員情報画面にて、すでに登録されているメールアドレスを入力して変更をした場合、送信ボタンを押した後の画面で「このメールアドレスはすでに登録されています。」という警告のメッセージは出るのですが、会員情報のデータはそのすでに登録されているメールアドレスに変更されてしまいます。

    つまり、同じアカウントが2つ存在すると言うことになると思います。

    以前にも「メールアドレスが重複して登録される」ということでご報告させていただきましたが、この部分についてはやはり直っていないようです。

    何度もすみませんがご確認いただければ助かります。

    #67463

    nanbu
    参加者

    こちらで検証いたしましたが、他人と同じメールアドレスで重複登録されるようなことはございませんでした。

    検証は、管理画面の会員データ編集画面および、フロントでの会員情報ページにて、既に存在するメールアドレスに変更して更新ボタンを押したところ、重複している旨のメッセージが現れ、データも更新されておりませんでした。

    検証にはv1.3.4を使用いたしましたが、v1.3.3でも同じ結果になるはずです。

    #67464

    hrmiz
    参加者

    nanbu様

    おっしゃるとおり実際のデータは更新されてはいませんでした。今回の新しいバージョン1.3.5で確認いたしました。

    会員のメールアドレスが重複して登録されるという事はありません。

    しかしながら今回の様に私が勘違い?したことの原因として、会員情報変更後の画面に、「このメールアドレスはすでに登録されています」と警告のメッセージがあるのですが、添付の画像のように「変更したメールアドレス」が会員情報のところで出ているためでした。

    一見これを見るとエラーのメッセージが出るものの、そのまま処理が行われたのかとおもったのでした。

    ただし、実際には重複したメールアドレスの更新はされていないことを確認いたしました。

    添付の画像はMacのFirefoxで試したものですが、Safari,Chromeでも結果は同じでした。

    今回のケースは一見勘違いしますが、実際にはデータが書き換わったわけでは無いので大丈夫かと思います。

    今回の案件に対して素早い対応をしていただきありがとうございました。

    [attachment=11485,294]

6件の投稿を表示中 - 1 - 6件目 (全6件中)

このトピックに返信するにはログインが必要です。