WEB系情報セキュリティ学習メモ

本ブログは移転しました。各記事は3秒後に新しいブログへ自動的に移動します。移動しない場合は本文のリンクをクリックしてください。




AD
 

スポンサーサイト


Edit Category スポンサー広告
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

EC-CUBEの脆弱性を発見しました(part2)


Edit Category ポインタ(リンク)
本記事はこちらに移転しました。
http://securitymemo.blogspot.jp/2014/10/ec-cubepart2.html


スポンサーサイト
 
06 2013
SUN MON TUE WED THU FRI SAT
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 - - - - - -

05 07


 
プロフィール

name:g_sato
某社で働くWEB系エンジニア。本ブログでは脆弱性検査的なことばっかりやっていますが、セキュリティ業界の人ではなく、勤務中は普通の開発者をやっていて、プライベートで脆弱性の検査技法を探求しています。
(脆弱性を軸にWEB技術を学べてる部分もあり、脆弱性研究自体も面白いので一石二鳥な感じです。)
ブログは、情報セキュリティの学習途中の過程の記録なので、色々見苦しいかもしれません。

  *

大量の情報の中からものを見つけ出す等のINPUT系の作業は小学校の頃から得意なのですが、言うとか書くとかのOUTPUT系の作業が駄目なのでそっち側の訓練の必要性を感じています。

  *

最近、EC-CUBEの大きな脆弱性を複数見つけてEC-CUBEの安全性を高めました。
(いずれ脆弱性の詳細を公開します。脆弱性のあるバージョンをご利用の方は早めにアップデートorパッチ当てることを推奨します)

・これまで発見したEC-CUBEの脆弱性
JVNDB-2013-000043 EC-CUBE におけるアクセス制限不備の脆弱性
JVNDB-2013-000062 EC-CUBE におけるコードインジェクションの脆弱性
JVNDB-2013-000061 EC-CUBE におけるディレクトリトラバーサルの脆弱性
EC-CUBE お届け先複数指定画面でのXSS脆弱性
JVNDB-2013-000081 EC-CUBE における Windows 環境でのディレクトリトラバーサルの脆弱性
JVNDB-2013-000098 EC-CUBE における情報漏えいの脆弱性
JVNDB-2013-000097 EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
JVNDB-2013-000105 EC-CUBE におけるクロスサイトスクリプティングの脆弱性
JVNDB-2013-000104 EC-CUBE における情報漏えいの脆弱性

・資格とか
情報セキュリティスペシャリスト保持。
2011/06~2011/12 某大手企業の脆弱性検査を担当。(その業務がものすごく面白かったのでその世界にのめりこんで現在に至る)

・趣味とか
弱将棋指し。
2005年からWWF500円会員。

※ミスご指摘等何かあればコメント欄か
38gtemp@gmail.com(全角→半角)までお願いします
twitter:https://twitter.com/secmemoblog

 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。