とあるWebサービスが入力フォームから送られるデータにたいしてまったくサニタイズを行っていないことが発覚。XSSし放題。しかも作成者はその脆弱性の重要度にまったく気がついていない。
JavaScriptからCookie抜いて外部サイトへ投げてあげれば
プロフィール見たユーザなら誰にでもなりすまし可能なのに。
で、すごいのが、このシステム。クレジットカードの番号入力とかするんですよ。もうやりたい放題。
これって最初から個人情報公開してるようなもんじゃない?apacheとかphpのバグを利用しなきゃ落とせないとかならわかるけどさ。
Webサービスについての基本的な認識がかけてるド素人が調子にのってうんけシステム作って公開してんじゃねーよ。
少なくともこのシステムの開発者にWebプログラマを名乗る資格はないね。