男なのに女の子っぽい名前をつけてたり、プロフィールに女の子の写真を使ってたりする人が気持ち悪い・・・。
(と書いたら怒られるかな？)

# あー、決して私の登録リストに入ってる方に対してではないですよ(笑)

とある商用のウェブメールだが、i-modeやezweb端末でメールを読めるようなモバイル機能を持っています。

皆さんご存じのように、携帯端末の多くはcookieをサポートしていない場合があるため、ウェブアプリケーション側でセッションを利用するためにはGETメソッドの引数やPOSTメソッド時のhiddenが一般的に使用されます。

このシステムはGETの引数としてユーザIDやパスワードなどがmd5()されたような値を用いていました。
http://www.example.com/のような文字列を本文に含ませてメーラからメールを送信、ezweb端末から見ると、この文字列はご丁寧にaタグで囲まれているわけです。

リンククリックしたらHTTP_REFERERがウェブサーバ側に送られること、開発者の方々ご存じないのかな。
特に何も工夫することなくセッションハイジャックできるのですが・・・。

たとえば、REFERERとして残されるURIが
http://www.example.com/mail.cgi?hogeid=nomo@bluecoara,net&sess=abcdefg
のような場合、後々googleでmail.cgi hogeidという文字列を検索すると、どこかのサイトのAnalogやAWstatsの中にアドレス記録されるんじゃないの？

しかもウェブメールサーバをリブートしてもセッション情報は破棄されていませんでした。trussとかすれば詳しい動き追えますが、そこまでやる義理は正直無し。

約1日の簡単な検証なのに、見つかったバグや脆弱性4件ほどですか。
テスト項目どうなっているのか、是非教えて頂きたい限りでした。

あんまりこういう情報を自分の日記に書くのは好きではありませんが、未だにこんな化石が存在していたのか！という戒め的な意味で綴ってみた。