Hey guys!
Bad Storeを利用する人物は、
・ユーザ
・管理者
・サプライヤ
がいるように思えます。
脆弱性診断をする際には、各々の権限で異なる画面や機能を把握し、各々の権限で診断をする必要があるかと。
下記のようにサプライヤには、価格表をアップロードする画面がありました。
ちなみにシェルスクリプトをアップロードすると難なく成功。
何でもありのように思えます。
今回、サプライヤへのログインは、SQLインジェクションを使ってログインしました。
なので、サプライヤ以外の人間が悪意のあるシェルスクリプトをアップロードしてWEBアプリケーションやサーバ全体を侵害する可能性もあるかと。
対応策としては、アップロードされたファイルのMINIタイプの検証を実行して。
対象外となる拡張子をもつファイルは、アップロードさせず。
実行可能なファイルのアップロードを許可する必要がある場合は、アクセス権限を読み取りのみに設定する必要がよろしいかと。
このファイルアップロードについての診断項目は、IPAのウェブ健康診断やWEB診断ガイドラインにも書かれていないような。
Best regards,