Hey guys!

Bad Storeを利用する人物は、

　・ユーザ

　・管理者

　・サプライヤ

がいるように思えます。

脆弱性診断をする際には、各々の権限で異なる画面や機能を把握し、各々の権限で診断をする必要があるかと。

 

下記のようにサプライヤには、価格表をアップロードする画面がありました。

ちなみにシェルスクリプトをアップロードすると難なく成功。

何でもありのように思えます。

 

 

今回、サプライヤへのログインは、SQLインジェクションを使ってログインしました。

なので、サプライヤ以外の人間が悪意のあるシェルスクリプトをアップロードしてWEBアプリケーションやサーバ全体を侵害する可能性もあるかと。

 

対応策としては、アップロードされたファイルのMINIタイプの検証を実行して。

対象外となる拡張子をもつファイルは、アップロードさせず。

実行可能なファイルのアップロードを許可する必要がある場合は、アクセス権限を読み取りのみに設定する必要がよろしいかと。

 

 

このファイルアップロードについての診断項目は、IPAのウェブ健康診断やWEB診断ガイドラインにも書かれていないような。

 

Best regards,