フォロー

グレーな話 任天堂 ハッキング関連かも 

今から約8−10年前の高校生の時だった。任天堂が3DSを出した。その頃、韓国任天堂株式会社ではNTSKだっけ?とにかくそれと似ていた名前の、任天堂とゲーム会社の間の連絡や、ゲーム機の開発ツール・ドキュメントがダウンロードできる裏サイト*があった。

NTSKは当時から見てもかなり古いバージョンのPHPで作成されていて、ユーザー認証にセッションの代わりにクッキーを使用するなど、セキュリティがガバガバだったので、Chromeのインスペクターでクッキーの値を適当に代入することで認証ページをbypassしてサイトの内容を閲覧することができた。興味深い内容ばっかりだった。一部はdumpも取った。

もちろん、サーバーサイドでの最小限のチェックは行っているが、リダイレクション・レスポンスとかじゃなく、未認証のクライアントにコンテンツを全公開したまま、コンテンツの下端に<script>タグでalertを出してlocation.hrefをいじる手口を使用しているので、scriptを無効のすると問題なく閲覧できた。

グレーな話 任天堂 ハッキング関連かも 

*イントラネットでも外部には公開されてて、Googleにインデックスはされないように設定されていた

スレッドを表示
ログインして会話に参加
:realtek:

思考の /dev/null