【7pay】他にもstrutsを使ってる証拠が出てきてしまう【omni7】
世の中には URL が .do でもstruts じゃないやつとかあるのでな。
— kentaro.maeda (@kencharos) July 4, 2019
えっ、マジで?( 'ω')
というわけで、ほかにも証拠無いか探してみたよ
( 'ω') 。 o (あっ、)
なんか、ナナコストアもセブンネットも同じコード使いまわしてますが、struts のトークン使ってますね
ちなみに、勘違いしてる人が多いけど、脆弱性が本気でやばいのは現在サポート終了したstruts1ではなくてstruts2の方
Security Bulletins - DEPRECATED: Apache Struts 2 Documentation - Apache Software Foundation
2010年ごろからやばい脆弱性を乱発して多くのサイトから情報漏洩事故を起こした悪名高いのはstruts 2の方なので、アップグレードしても解決しないのだ( 'ω')
2010年ごろからやばい脆弱性を乱発して多くのサイトから情報漏洩事故を起こした悪名高いのはstruts 2の方なので、アップグレードしても解決しないのだ( 'ω')
まあ、本当にやばいのは、セキュリティ情報の扱いがめちゃくちゃで、素人が設計したんじゃ無いかと思われる様な作りになってることなんですけどね!
セブンpayのごたごたやら見てると、paypayと同じ下請けか孫請使ってんじゃないかと思うんですが、どうでしょう?