恥知らずが(唾棄)。おっぱいド素人!

これをXSSだと思って草を生やしてるのは嘆かわしい。Self XSSではあるけど、XSSとSNSに提示してしまっている以上はコイツ何も理解できてない。XSSとSelf XSSでは一緒くたにできない大きな差がある。脆弱性か否かという差だ。

この投稿単体ならば幼稚園ジニアが意味も分からず恥を晒してんなって見逃せるけど、よくわかってねー奴らがこのTweetのコメントやら引用にウゾウゾと湧いてきてズレたことを言っているのが気に入らん。僕は監査で指摘された脆弱性が全然脆弱性じゃなかったことを思い出して腹が立ちました!何がVRCだバカタレ。

◆電子機器に詳しいと思われたがり

詳しくない技術を雑語りするのは恥ずべき態度です。恥なんて幾らでもかき散らせばよろしいが、XSSと言い切るのはほぼデマ。サイトに存在していない脆弱性が存在しているという風説を流布している。XSSの何が問題で脆弱性と言われてるのかを理解せずにあぁいうツイートを軽々しくすんなよ。そして論理マサカリを投げられたら即座に調査し、自分が間違っていると判断したら取り下げなさい(MUST)。

evalは非推奨ではあるゆえ、ソース付きでその指摘をしなさい。それ以上はライン越えてます。訴えられても知りませんよ。

◆じゃあ日本医師会のホームページは大丈夫なのか

日本医師会 (med.or.jp)

(大丈夫じゃ)ないです。

そも、eval使ってるのは意味わからん。parseFloatIEですら使えていたのに、いつの時代の何を使ってサイトを構築してんだろか。少なくとも15年前から使うなと言われてますよ。

ほんで、会員ページ。

https://med.or.jp/japanese/members/

Basic認証やめなよ。httpでアクセスしたら(なぜか401で)Moved Permanently吐いたからいいけど、ブルートフォースアタック食らったら死んじゃうよ。今どき使っていいような認証じゃないよ。114514歩譲ってDigest認証

Q . IDとパスワードはどのようになっていますか。

ユーザID
会員ID(日医刊行物送付番号)の10桁の数字(半角で入力)です(宛名シール下部に印刷されている10桁の数字です)。

パスワード
生年月日の「西暦の下2桁、月2桁、日2桁」を並べた6桁の数字です(半角入力)。
例)「昭和37年(1962年)2月4日生まれ」の場合→「620204」になります。

メンバーズルームへのアクセス方法 | 日本医師会 (med.or.jp)

やめなよぉぉぉおおおお!もおおおおおおおお!どこのベンダだよコラあああああ!!!!

みたいな。誕生日だと数字6桁の組み合わせですらないし、IDを送付番号と共有してるんだとしたら連番なんじゃない?

◆結

これよ。こういうのが脆弱性。

netflitwitter.comとかdropbotwitter.comとかが話題になっていて面白い。悪用できない気もするけど脆弱。