日本の大手ショッピングサイトである楽天のテスト・リクエストがあり、楽天を調査してみることにします。楽天やYahoo!は、最近出てきたイケイケベンチャーと違うので、それなりのセキュリティ対策が期待されます。
<準備>
調査の方法は、いつものようにGoogle Chrome、WireShark、WebTasterの3点セットです。
<調査>
WireSharkで、パケットを盗聴しながら、Google Chromeで楽天にアクセスし、ログインします。
さすが、楽天は、ログインや登録回りは完全にSSLになっていて、全く盗聴することができません。
ログイン完了後に表示される画面は、SSLではなく暗号化されていないページです。
期待通りセッションハイジャックできる予感です。
ここで、盗聴パケットを見ると、クッキーが取得できていますが...
クッキーのデータの中に、こちらのIPアドレスが埋め込まれています。
これにどの程度のセキュリティ効果があるのかわかりませんが、とにかくアクセス元の情報を埋め込んでいます。
WebTasterを起動し、楽天にアクセスします。
この状態では、楽天にログインしていません。
ここで、WebTasterを使って、クッキーを先ほど取得したデータに改竄書換、再度、楽天にアクセスすしてみます。
結果は、見事にセッションハイジャック成功です。
管理人の個人名と、現在のポイントが表示されています。
その他、カートの中身や、閲覧履歴などを、セッションハイジャック状態で見ることができます。
しかし、氏名以外の個人情報や買い物実行などでは、再度ログインを要求されるようになっています。
イケイケITベンチャーとは違い、海外サイトと同等の対策がされています。
