代官山蔦屋書店ECサイトのXSS
CCCが運営している代官山蔦屋書店はECサイトも運営している。
ドメインはtsite配下だ。
詳細は省くがそこにXSSの脆弱性があることを2014年7月5日の時点で確認した。
古典的な方法で確認する。
(参考:サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法)
商品検索の検索窓に『>'><script>alert('test')</script>』と入力し検索を実行する。
このようにポップアップウィンドウが表示される。
わかりやすくするとこういう状態。
この件に関して冒頭にも書いたように2014年7月5日の時点で確認しており、既にCCC側も状況を確認しているはずである。
既に2週間放置されていることで、脆弱性の情報を公開することよりも、脆弱性のある状況が放置されていることのほうが危険度が上回るのではないか?という判断をし本ブログを書くことにした。
※archive.orgで確認したところ最も古いarchiveは2012年1月28日で、デザインは現状のサイトとほぼ同じであるため、実際には2年半に渡ってXSSの脆弱性が放置されていた可能性もある。
代官山蔦屋書店ECサイトにおいては、上記のようなクリティカルなものではないが他の問題も確認している。
整理
https://t.co/EijcNJQipm
定員50名。
現在の在庫が62(何故?)。
「ギフトラッピングをご利用の方はこちら」のリンク先は404(笑
良いとこ無しな #代官山蔦屋書店 ECサイト。
#CCC pic.twitter.com/OWLjU7MRjS
— Seiji Matsuda S.A.C. (@SeijiMatsuda1) 2014, 7月 10
定員50名のイベントのための販売在庫が60以上あったり、カート上からギフトラッピング利用のページに飛べるはずが404(Not Found)だったりと、非常に杜撰な作りと杜撰な運営状態である。
その杜撰な状態の上にXSSの脆弱性が存在するため、この状況がそのまま放置されてしまうのではないか?という危惧も今回本件を公開するに至った理由である。
果たしてこの辺境なブログ(笑)に書いたことで、CCCが速やかに修正を行うかどうかは些か疑問ではあるが、利用される方は自己責任で充分な注意をはらっていただければと思う。
ちなみにtsite配下やCCC関連サイトに同様の不具合が存在するかどうかについては、いくつか確認したが私は発見出来なかった。
しかし、関連サイトが非常に多く全ての確認を行ったわけではないので、更なる注意は必要かもしれない。