楽天RMSのセキュリティホールか?

やばい。 RMSの使用者の闇を垣間見てしまった。

 

とある楽天の店舗で、スマホ版のヘッダーを作っているところがあった。

で、お局さんから、それと同じようにして欲しいといつものわがまま。

 

いやまぁお局さん云々とかそれはいいんだ。

 

とりあえず、RMSのスマホ版ってヘッダーのカスタマイズできたっけ?とか、外部ファイル読めたっけ?とか思いながら、ソースコード眺めていたら…

 

※以下のコードは決して実行を煽るようなものではありません。むしろ、絶対に実行しないでください。

<link href="goldのCSSファイル" =""="" rel="stylesheet" type="text/css">

 

以上のような記述。   ん?「=””=””」ってなんだ? どっかで見たことあるような・・・。

 

あかん!これあかんやつや!!

 

まさかの楽天RMSのセキュリティホールか?

このコードを入れることで、RMSのタグ規制をすり抜けてlinkタグないし、iframeタグなどの使用ができる様子。

まさしく、偶にあるIT系の会社の事件に使われているアレのコード(に似ている)。

どこの制作会社が最初にやったのかは知らんが、意図的にまたは偶然見つかったのか…。

いや、そんなことはどうでもいい。

これはやばいやつ。 楽天の規約云々以前に、これって法に触れるような悪いこといろいろできるんじゃないか・・・?恐ろしや・・・。

さすがにセキュリティホール突いてまで実装するだなんて、そこまで人間落ちぶれちゃいない。まぁ、怖くて実験する気にもなれませんでした。

まぁ、このコードを入れれば便利という理由で、店舗側なり制作会社なりでは黙認されてるんだろうが、絶対にやってはいけないことってあると思うのよね。

2重価格偽装の問題についてもそうでしたが、RMSの売り手側・制作側のモラルやリテラシーがどれだけ低いかってのがよく分かりますよね。

 

まぁ俺みたいな腐れコーダーが言うのもアレですがね。

可能ならばなにをやってもいいのか。 HEDOが出ますね。

カテゴリ

この記事のコメント

コメントはないです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です