【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能

名無しさん＠１周年

【極秘入手】7pay開発の内部資料。｢セキュリティー不備｣は急な開発と“度重なる仕様変更”が一因か
https://www.businessinsider.jp/post-194302
今回の7payのシステム開発では、フロントエンドが従業員数3000人弱の大手SIer、基幹システムは別の大手開発会社が担当している。

3000人規模で探してみたら、CTCしか見つからなかった。他にもある可能性は高いので、教えてくれ。

【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能

【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能