セキュリティ対策の株式会社ラック

お問い合わせ
閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
お問い合わせ

セキュリティ事故発生時はこちら

アーカイブ

A certain company's website Potential Personal Information Leak Vulnerability

2001年10月30日 | 注意喚起

SNS Advisory No.45

Problem first discovered: 22 Jun, 2001
Published: 30 Oct, 2001
Last revised: 26 Jan 2004

概要

ある人材派遣会社のWebサイトではセッション情報の取り扱いに問題があり、登録された個人情報が漏洩する可能性がありました。

問題

個人情報の参照や更新はユーザ名とパスワードによる認証が必要でしたが、セッション管理が適切に行われていない個所が存在しました。個人情報の更新機能へのリンク先に含まれていた下記パラメータ

CandID=100003034

CandID=100003035

に変更するだけで他人のプロフィールが閲覧できてしまいました。

対策

発見後直ちに担当者に報告したところ、すぐに対策に着手し、問題のあったセッション管理が対策されました(2001年10月29日)。

発見者

三輪信雄(ラック)

更新履歴

2001年10月30日:初版発行
2004年 1月26日:概要を変更

アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

page top