0100名無しさん@お腹いっぱい。
2017/06/03(土) 02:40:42.86ブラウザバックのバグは本質じゃなくて不正アクセスや不正投票が出来る可能性があるのか?
35 名前:47の素敵な(オーストラリア)@無断転載は禁止[] 投稿日:2017/06/03(土) 02:27:53.53
>>21
DBは関係なさそうかな
サイトからDBへのデータ転送のところに穴があって偽装IDで送れるんじゃないかって話かと
36 名前:47の素敵な(庭)@無断転載は禁止[] 投稿日:2017/06/03(土) 02:28:03.69
暴けよw
37 名前:47の素敵な(東京都)@無断転載は禁止[] 投稿日:2017/06/03(土) 02:28:57.75
俺は脳内ブレストレベルでサイトのデバッグはしてない。
ただ状況証拠から言えるのは
a. 同一IDの複数投票じゃない→それならすぐ消せるし、チェックするはず
b. ビデオによると複数タブ開いて投票できてた→セッション管理がめちゃくちゃ
ここから仮説
c. ゴンドラは重複を検知できないし、消せない→なぜならIDは重複してないから。
さらにセッションはかなり適当だから、投票画面までたどり着けば、不正に生成したIDで投票できると考えると辻褄は合う。
というのが推測。
自分で考えた具体的な手法はハズレ。
サイト側がセッション管理しっかりやって、DBに叩き込む前にチェックすればいい。
