[site top]

泉xx市のふるさと納税サイトについて | きのあ将棋

トップに戻る | Back Top

概要

先週末、2018/09/28の金曜日にある自治体が東京で、ふるさと納税に関する記者会見を行いました。
この自治体の「ふるさと納税」のサイトについて問題提起をいくつかしたいと思います。

わかりやすくかみ砕いて書くのは疲れるため、誰か翻訳して記事にしていただけるのも歓迎です。
悪用防止の観点から、一部エリアを消していることをご容赦ください。

デザインの問題

ある自治体は、某ポータルサイトにロゴが極似しています。

ある自治体のスクリーンショット
izumi-a

あるふるさと納税サイト2018年前半のスクリーンショット(アーカイブサイトから発掘)
izumi-b



セキュリティの問題 1

サーバ設定のミス、デバックコードの不適切な出力から、
DB構造やディレクトリ構造、アカウント名?が漏出しています。

ある自治体のスクリーンショット
izumi-c

セキュリティの問題 2

グローバルパラメータの汚染が起きています。
これにより、getからpostの値を操作できるため、悪意のある人は色々やれます。
(クッキーは試してないので不明)
ここでは提示しませんが、パスワード変更画面のパスワード入力でもgetから操作できるようでした。

ある自治体のスクリーンショット
izumi-d

履歴

・2018/10/01 :資料作成、公開。