494 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 08:40:44.53 ID:HK5qZVkX0

ファイル大公開中だっておｗｗ
脆弱性が見つかるかもねｗｗｗｗｗ

---

-関連記事-
セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される
セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明
セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が出る。
セブンアンドワイ、今度はソースコード流出させる。
セブン個人情報流出問題、ついに ITmediaに掲載される･･･セブン「XSS脆弱性はもう対策した（ｷﾘｯ」→即XSS脆弱性が見つかる

---

503 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 08:58:07.53 ID:s2q52wKaP

>>494
中身は何？このURL開いても安全なの？

505 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 09:01:08.13 ID:APe5cNpm0

>>494
消えた？

510 ：anonymisierungsdienst.foebud.org ：2009/12/17(木) 09:04:27.97 ID:R7SaUqhM0

社員さん急いでWeb魚拓に削除依頼しないとｗ

http://megalodon.jp/2009-1217-0830-18/https://www.7netshopping.jp:443/bks.svl/%c0%ae%c0%ae/HTML_JS/CVS/Root
http://megalodon.jp/2009-1217-0835-15/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/esb2002/.svn/entries
http://megalodon.jp/2009-1217-0838-59/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/
http://megalodon.jp/2009-1217-0839-04/https://www.7netshopping.jp:443/bks.svl/%c0%ae%c0%ae/
http://megalodon.jp/2009-1217-0842-28/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/esi/include/.svn/entries

513 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 09:05:16.60 ID:7Ir+MHS+0

>>510 それどういう意味なの？

520 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 09:17:12.89 ID:VQxZ/0hV0

>>510
丸見えやがｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

515 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 09:06:37.99 ID:s2q52wKaP

>>510
Subversionで管理していたのかｗｗ
今の時代GitだろJK

516 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 09:10:09.25 ID:hUbH7/jl0

>>515
素人でもわかるようにぐにゃぐにゃに噛み砕いて教えてくれ

518 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 09:13:44.84 ID:QYcl5+fTO

>>516
社内での主戦力がPCではなくワープロ

534 ：anonymizer2.blutmagie.de ：2009/12/17(木) 09:34:56.47 ID:yR1IkX6i0

☆新情報まとめ☆

にてセブンのサーバーのデータが大公開されていることが発覚
（URL中に識別用の文字列は見られないので、文字通りの「公開」）


さすがのヤバさに10分程度で消されましたが、証拠はバッチリ保存済み


ZIP（ページ中段にダウンロードリンクがあるので、ページを開いて30秒ほど待ってから落としてください）

魚拓
http://megalodon.jp/2009-1217-0830-18/https://www.7netshopping.jp:443/bks.svl/%c0%ae%c0%ae/HTML_JS/CVS/Root
http://megalodon.jp/2009-1217-0835-15/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/esb2002/.svn/entries
http://megalodon.jp/2009-1217-0838-59/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/
http://megalodon.jp/2009-1217-0839-04/https://www.7netshopping.jp:443/bks.svl/%c0%ae%c0%ae/
http://megalodon.jp/2009-1217-0842-28/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/esi/include/.svn/entries


☆これがあると何が起きるのか☆
今までのXSSやCSRFの脆弱性の原因がわかります。
つまり、これを見れば新たな脆弱性も発見できると言うことであり、非常に危険な状態です。
もしかしたら個人情報へのアクセスURLや、社員用パスワードなんかも保存してあったりしてｗ
あくまで予想（ってことにしてあります）ですｗ

538 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 09:39:02.44 ID:7Ir+MHS+0

>>534 理解した

539 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 09:42:04.09 ID:VQxZ/0hV0

>>534
rootアカウントっぽいのあるんだが・・・大丈夫なのかこれ？

551 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 09:51:15.80 ID:EL4hPSQy0

　　　 　　　　　　　　　　　　　　　　　　　　　　　-――――- 、
　　　　　　　　　　　　　　　　　　　　　　　　 　 ´:::::::::::::::::::::::::::::::::::＼
　　　　　　　　　　　　　　　　　　　　　　　　/ :::::::::: /::::::::::::::::::::::::::::::::ヽ
　　　　　　　　　　　　　　　　　　　 　 　 　 ｉ::::::/::::/::/:::/|:::::∧::::::::丶:::',　>>534
　　　　　　　　　　　　　　　　　　　 　 　 　 |:::: |:::/::/:::/ :|: /　 }:::ヽ::::| ::|　見えない
　　　　　　　　　　　　　　　　　　　 　 　 　 |:::: ﾚ'^7ﾞ)/＼l/　　ﾉ∨}_::j::::|　　知らない
　　　　　　　　　　　　　　　　　 　 　 　 　 /::_〈 　 〈::{c＞　　 ＜っﾚｲ:_｣　　　聞こえない
　　　　　　　　　 　 　 　 　 　 　 　 　 　 /::/ ∧　　V　　　　　　　{　〉
　　　　　　　　　　　　　　 　 　 　 　 　 /::::{　　 〉 　 }　 r‐っ　　イ /
　　　　　　　　　　　　　　　　　　　　　/::::::ﾊ　 /　　 { ＞rｰ＜|　　{
　　　　　　　　　　　　　　 　 　 　 　 /::::::::{〈._/　 　 八ノ{ヽノl:|.　　'、
　　　　　　 　 　 　 　 　 　 　 　 　 /:::::::::∧/{.　　 /:::::?ﾉじ'::{　 　 〉
　　　　　　　　　　　　　　　　　 　 /::八::｛ 　＼__／　￣｀ヽ_＞ゝーく
　　　　　　　　　　　　　　　 　 　 ｛:: |　∨ 　 _／　　　　　 ｝
　　　　　　　　　　　 　 　 　 　 　 ヽ:{　（=彡/　y'　　　　 /　 　 　 ﾉ
　　　　　　　　　　　　　　　　　　　　　　ﾄｰ'7　∧＿＿__/、＿__／
　　　　　　　　　　　　　　　　　　　　　 └'个ｰ|::::::::::::／:::::::: ／

601 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:19:21.93 ID:NSZurVCC0

>>534のzipがさっぱり意味不明なんだが、誰か教えておくれ

604 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 10:20:47.20 ID:yR1IkX6i0

>>601
南京錠がスケルトンになって鍵の構造が丸見えになったような状態

543 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 09:44:10.76 ID:bnAst1Na0

何これやばいｗｗｗｗｗｗｗｗｗｗ
セブンの優しいおばちゃんに転職勧めてくるおｗｗｗｗｗｗｗｗｗ

544 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 09:44:44.76 ID:5EodG5SO0

え？これまじで？ｗｗｗｗｗｗ

546 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 09:45:05.97 ID:IOel1AGN0

やばいよやばいよ！

560 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 09:57:06.06 ID:AdaC0fjr0

本当に脆弱性が見つかったら中華が何するか・・・
これ今までで一番やばいかも

さすがにコレは削除、IPAとか警察に通報、送信だろ。

568 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:00:56.19 ID:5EodG5SO0

なんでこんなのまでアクセスできる状態になってんの？ｗｗｗ
てかもうここで公開してよかったの？

569 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:04:00.19 ID:oCfObREz0

起きたら面白いことになっててわろすｗｗｗ
おいおまえら



いいぞもっとやれ

570 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 10:04:08.68 ID:HNzZ1Q4+O

もう本気でサイト作り直すしかないだろｗｗｗｗｱﾎｽｗｗｗｗｗｗ

580 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:10:23.46 ID:2GXydCUz0

ガラス張りのオープンハウスはこちらです→
見学自由

581 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:11:07.46 ID:fj9vz5Ff0

これはいくらなんでも酷すぎる
なんでセブンネットを一時停止しないんだろ
指摘されてから公開を続けた責任は重いだろ
これは間違いなく根こそぎ持って行かれてるな
祭りに参加してないのに購入歴があるだけでクレカ再発行かよシネよ
これで隠匿とか悪質すぎる

584 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:13:07.27 ID:5EodG5SO0

まさに物売るってレベルじゃねーぞ状態だなｗｗｗｗｗｗｗ

648 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 10:44:15.73 ID:PcP3jPX90

ソース書いた人の名前があるね。
会社名も。
ずさんな管理をしたやつが悪いんだろうけど
真っ先に疑われるね。

613 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:25:17.94 ID:pNETMXPWO

許さない

640 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:37:10.73 ID:VQxZ/0hV0

ここまで大事になってるのに暢気に運営してるセブンは凄いよ
たぶん何も無かった知らなかった脆弱性も無かったで終わると思うわ

713 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 11:36:30.08 ID:nC9i7m0F0

むしろ社員がわざと情報を公開してるんじゃないかと思うぐらいの杜撰な管理体制

734 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 11:49:10.62 ID:SfSB65VXP

　　　　r'ﾆﾆ7　　　　　　本当にすまないという気持ちで…
　　 　 fﾄﾛ,ﾛ!___　　　　　　　胸がいっぱいなら…！
　ﾊ´￣ﾍこ/　 ハ
/　 〉 　|少　 /　|　　　　　　どこであれ土下座ができる…！
＼ ＼　　　 /｜ |
　┌―)))――)))‐―┐　　　　　　たとえそれが…
　　ヽ￣工二二丁￣
　　　〉　ヽ工工/　;′∬　　　　　肉焦がし…　骨焼く…
　　lヽ三三三∫三三＼;'
　　ｈ.ヽ三∬三三';.三三＼';∫　　　鉄板の上でもっ………！
　 └ヽ ヽ三,;'三三∬三;'三＼'"
　　　　ヽ |__|烝烝烝烝烝烝|__|
　　　　　 ｌj_」ー――――‐U_」

757 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 12:03:16.54 ID:oCfObREz0

あと、セブンとしては情報流出はなかった。
なにかあればIPAから連絡がくるはずだって言ってるらしい。
なにこれもみ消しじゃね？ｗｗｗ

759 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 12:04:18.99 ID:yR1IkX6i0

>>757
ソースコード全流出したのにもみ消しは不可能だろ。

959 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 15:29:49.70 ID:oCfObREz0

なぁ、ソースみてたら面白いことになってるんだけどｗ
HTMLすら書けないのか？ｗ

<table width="100%" border="0" cellspacing="0" cellpadding="1">

<tr>
<td><img src="/esb2004/images/clear.gif" width="583" height="1"></td>
<td width="47" align="center"><img src="/esb2004/images/clear.gif" width="92" height="1"></td>
</tr>
</table>

<?xml version="1.0" encoding="shift_jis"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" lang="ja-JP" xml:lang="ja-JP">
<head>

964 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 15:33:54.73 ID:8LHRl9ml0

>>959
ワロスｗ

961 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 15:30:46.55 ID:gEJm8+QY0

>>959
　　　　　　　　*'``・* 。
　　　　　　　　|　　　　 `*。
　　　　 　　,｡∩　　　　 　* 　　　もうどうにでもな〜れ
　　　　　　+　(´･ω･`)　*｡+ﾟ
　　　　　　`*｡ ヽ、　 つ *ﾟ*
　　　　　　　`・+｡*・' ﾟ⊃ +ﾟ
　　　　　　　☆　　 ∪~ ｡*ﾟ
　 　　　　　　`・+｡*・ ﾟ

28 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 16:32:03.49 ID:oCfObREz0

オープンソース（）笑を見てる限り、当初は3〜5人で作り上げたものっぽいね。
あまり大規模プロジェクトじゃなかったから、少ない開発メンバーで頑張ったんだろうね。
で、この手の話にありがちなのは、一度作ったらなかなか直さないってこと。
新規に作るときは気合を入れて仕様書とか頑張って作るんだけど、
いざ完成すると保守が面倒になって（もしくは保守手順が確立されてなくて）、
問題があってもなかなか直せないままでいるのかもしれん。

推測だけど、今回不具合直しているのは、他の開発案件をやってるチームなんじゃないか。
緊急で呼び出されて直してるだけだから、2chで指摘があるときだけ対応している。
そう考えると全部つじつまがあうんだよな。

38 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 16:40:13.34 ID:pjjthOSA0

>>28
俺もそう感じていた
2ch→監視係→助っ人→2chのループ
タイミング的に、こんな感じ

34 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 16:36:44.25 ID:+YjIlH4A0

ちなみに、みれたソースの多くに

# 著作権:
# Copyright(C) 2001 by e-Shopping! Books CORP.
# Copyright(C) 2001 by e-Commerce Technology CORP.
# Nihonbashi Hakozaki Bldg.
# 24-1, Nihonbashi-Hakozakicho, Chuo-ku, Tokyo 103-0015 JAPAN
# All rights reserved.

が入ってる。
まあ、見れたのはほんの一部だろうけど。

ほんとなら、そのままe-Commerce Technology CORP.が運用･管理･保守してればいいものを、作り直しもせずに内製（？）にしたんじゃないの？

23 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/17(木) 16:20:49.63 ID:HNzZ1Q4+O

内製も嘘なん？

26 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 16:26:05.35 ID:oCfObREz0

嘘だろうね。事業引継とかでもらったソースを適当に修正しただけかと。
そりゃ安上がりだろ。

でも肝心の中身は今程セキュリティが重視されなかったときに作られたものだから、
十分な検証がされなかったんだろうね。
お偉いさんは「動いてる！このまま動かせばコスト0じゃね？」って考えてるんだろ。
不具合こっそり直してるのも現場の社員の独断じゃないかな。

43 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 16:41:45.72 ID:WdHkhTfS0

なんかここ、隠ぺいしようとしてさらに被害と悪評が拡大してないか？
対応が間違っている典型的なパターン。

528 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 09:28:49.21 ID:+PraXvQl0

　　　　　 　　　＿＿＿_
　　　　　　　／　　　u　＼
　　　　 　／　　＼　 　 ─＼　　　　チラッ
　　　　／ 　し （＞） 　（●） ＼
　　　　|　∪　 　 （__人__）　 J |　 ＿＿＿＿＿＿＿_
　 　　 ＼　　u　　 ｀⌒´　 　／　| |　　　　　　　　　　|
　　　　ノ　　　　　　　　　　　＼　| |　　　　　　　　　　|　
　 ／´　　　　　　　　　　　　 　　 | |　　　　　　　　　　|　
　|　　　　ｌ　　　　　　　　　　　　　| |　　　　　　　　　　|

　　　　　 　　　　＿＿＿_
　　　　　 ／´・´｀ヽ　:::::／´´･｀ヽ　
　　　　 　|　　　　　j　　|　　　　　j　
　　　　／＼j_j__j_ノ　　＼j_j__j_ノ　　
　　　　|::::::::::::::::::::（__人__）:::: 　|　＿＿＿＿＿＿＿_
　 　　 ＼:::::::::　 　|r┬-| 　 ,／　.| |　　　　　　　　　　|
　　　　ノ::::::::::::　　`ー'´　　　＼　| |　　　　　　　　　　| 　
　 ／:::::::::::::::::::::　　　　　 　　 　　 | |　　　　　　　　　　| 　
　|::::::::::::::::: ｌ 　　 　 　 　 　　　　　| |　　　　　　　　　　|

571 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/17(木) 10:04:21.42 ID:s2q52wKaP

　　.‐''￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ヽ
　　|　　　　＿＿＿＿＿＿＿_　 　 　 　 　 　 　 　 　 　　　　　|
　　|　　　　|　　 ∧__∧　 　 　|　 　 　 　 　　　　　　　　　　　　|
　　|　　　　|　　<｀∀´ > 　 　 |　 ←バックドア　 　 　 　 　　　|
　　|　　　　|＿／ｸﾗｯｶ-二＼ |　 　 　 　 　 　 　　　　　　　　　|
　　|　　　　|＿／＼　　＼＼) |　 　 　 　 　　　　　　　　　　　　|
　　|　　　　|　　　 　＼　　＼　|　　　　 　 　　 　 　　 　 　 　 　|
　　|　　　　|　　　　／ ／＼￣￣ ）　　　　　　　　　　　　 　　　|
　　|　　　　|　　 ／ ／　　　￣|￣　　　　　　　　鯖　　　 　 　　|
　　|　　　　＼　＼ ＼　　　　　＼　　　　　　　　　　　　　　　 　| それがセブンクォリティ
　　ゝ､　　　　 ＼　＼ ＼　　　　　＼　　　　　　　　　　　　　　ノ http://www.7netshopping.jp/

-続報-
セブン個人情報流出問題、ついに ITmediaに掲載される･･･セブン「XSS脆弱性はもう対策した（ｷﾘｯ」→即XSS脆弱性が見つかる

---

｜コメントを書く｜トラックバック