1: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:38:21.05 ID:ID:BMjPtGwh0.net
275 :Admin ★:2016/12/20(火) 19:32:36.46 ID:???
■該当案件について
URLからアクセスして不正に他人のアカウントを操作し、キャラクターをテロできるかどうかは不明ですが、
http://wcat.colopl.jp/となっておりセキュリティ強化していないので他人から送り届けることはボタンを押すだけでプレゼントのようになってるようであれば恐らく可能です(まともな会社ならhttpsにしてるはずです)
問題が大きくなる可能性もあるので、該当行為をすることを中止して下さい
不正に他人のアカウントを操作している可能性もあるので、不正アクセス禁止法に抵触する可能性があります
引用元: 白猫プロジェクト、運営が全システム管理をネット上に保存、セキュリティなしのURLが公開され崩壊
3: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:40:48.75 ID:BMjPtGwh0
モンストみたいな好きなキャラを10体選んでその中の一体を貰えるイベントが始まる
↓
他人のアカウントで適当な弱キャラを選んでテロができるセキュリティ的な穴が発見される
システムいじられて死亡状態
4: スリーパーホールド(チベット自治区)@\(^o^)/ [ニダ] 2016/12/20(火) 19:41:35.42 ID://VY30C30.net
wwwwww
6: ナガタロックII(庭)@\(^o^)/ [US] 2016/12/20(火) 19:42:01.85 ID:e0d12Q4V0.net
もうやってないが祭りでワロタ
8: ジャンピングエルボーアタック(茸)@\(^o^)/ [US] 2016/12/20(火) 19:43:41.32 ID:mEDlv2Sc0.net
どうせ巻き戻して終了
9: ドラゴンスクリュー(大阪府)@\(^o^)/ [IR] 2016/12/20(火) 19:43:45.25 ID:/5sneM/V0.net
キャラクターをテロの意味が分からん
12: フルネルソンスープレックス(dion軍)@\(^o^)/ [US] 2016/12/20(火) 19:45:06.50 ID:sqzuNC0I0.net
>>9
他人のガチャが勝手に引ける
↓
知らないキャラが送りつけられる
13: アンクルホールド(茸)@\(^o^)/ [GB] 2016/12/20(火) 19:45:23.18 ID:9TaZhWL50.net
>>12
なにそれ凄い
16: ニーリフト(SB-iPhone)@\(^o^)/ [US] 2016/12/20(火) 19:45:52.53 ID:P6DPzc+G0.net
>>12
わろた
勝手にガチャ引かれてしかも雑魚キャラだってことか
10: 河津掛け(大阪府)@\(^o^)/ [JP] 2016/12/20(火) 19:44:03.13 ID:KQCJ5SBm0.net
もしもしゲーでしょ?
じゃあどうでもいいわ
11: アンクルホールド(空)@\(^o^)/ [CN] 2016/12/20(火) 19:44:40.94 ID:QH0G7IH40.net
日本語が不自由でわからん
15: ハーフネルソンスープレックス(やわらか銀行)@\(^o^)/ [US] 2016/12/20(火) 19:45:43.09 ID:fVgB2Q7P0.net
なお引けるのは一回きり
勝手に引かれたらおしまい
17: ミッドナイトエクスプレス(チベット自治区)@\(^o^)/ [EU] 2016/12/20(火) 19:46:14.40 ID:/ftzHkqz0.net
customer.csvとか検索すると外国のサイトのものまで引っかかってきちゃうからkokyaku.csvで楽しんでいた思い出
18: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:46:17.70 ID:BMjPtGwh0
他人のガチャを引く→レアキャラをプレゼントする
終わり、逮捕
23: フルネルソンスープレックス(dion軍)@\(^o^)/ [US] 2016/12/20(火) 19:46:48.22 ID:sqzuNC0I0.net
>>18
なおなんでもないURLで公開されてるから不正アクセスにはならず誰も逮捕されない模様
19: フォーク攻撃(カナダ)@\(^o^)/ [ニダ] 2016/12/20(火) 19:46:37.91 ID:yVqs03CL0.net
おわった…
20: タイガードライバー(埼玉県)@\(^o^)/ [US] 2016/12/20(火) 19:46:39.50 ID:qPrsDsRL0.net
ここまで経過の解説が下手くそなスレ立て人がいるとは驚き
21: スパイダージャーマン(公衆電話)@\(^o^)/ [CN] 2016/12/20(火) 19:46:40.71 ID:2QoyqOVN0.net
どーでもいい
もっとヤバイことかと思ったら可愛い案件やんけ
22: スターダストプレス(神奈川県)@\(^o^)/ [CA] 2016/12/20(火) 19:46:46.58 ID:hoOMb/qh0.net
不正するような運営だから今更何されても驚かない
24: ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ [IN] 2016/12/20(火) 19:47:06.81 ID:L5kx3g5Y0.net
欲しいキャラプレゼントキャンペーンで悩んでたら他人にゴミ選択されるとかひでえ
25: 超竜ボム(大阪府)@\(^o^)/ [AT] 2016/12/20(火) 19:47:33.02 ID:hFVPyia20.net
まーた炎上商法か
26: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:48:11.97 ID:BMjPtGwh0
503 :Admin ★:2016/12/20(火) 19:43:01.28 ID:???
■今回の問題についての解説
http://wcat.colopl.jp/ (コロプラのアドレス)
present-card/
(カードキャンペーンのディレクトリ)
detail?campaignId=1&
(キャンペーンのID初回なので1となっています)
id=●●●●
(ユーザーIDです)
&page=1&
ページ数
cardId=★★★★
(カード【キャラクター】のID)
&selectCardIds
(カードセレクトについての定義)
=&selectNum=10
(選んだカードの数)
&maxSelectNum=10
(選んだカードのID)
27: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:48:32.00 ID:BMjPtGwh0
●の部分にユーザーIDを入れることによりユーザーの抽選ページに行きます
★の部分にキャラクターカードIDを入れるとキャラクターが変わります
つまり、現状では
適当な数値を入れることにより
サーバー側の処理後わかりませんが、他人のものを、キャラクターをを指定し引けてしまう可能性は大いにあります(ただし抽選はランダムで、一度引くとロックのようなものがかかり引けなくなる可能性が高いです)
普通であればhttpsによりセキュリティを高めなければいけませんが何もされていません
仮に今回の件がなにもなかったとしてもインタネットを使うゲーム会社としてはセキュリティ意識は低かった可能性はあります
該当行為をすると不正アクセス禁止法に抵触する可能性がありますので絶対にしないように願います
32: ニーリフト(SB-iPhone)@\(^o^)/ [US] 2016/12/20(火) 19:50:33.62 ID:P6DPzc+G0.net
>>26->>27
こんなただの文字列に何十万も課金してたやつはバカらしいと目覚めたんじゃない?
38: ニーリフト(庭)@\(^o^)/ [US] 2016/12/20(火) 19:52:03.35 ID:/JdF7yZs0.net
>>27
ブラックキャット(矢吹神)>>白猫
28: バーニングハンマー(茸)@\(^o^)/ [BR] 2016/12/20(火) 19:48:42.29 ID:daP+0n3D0.net
良運営って言われてたのに
35: ハーフネルソンスープレックス(福岡県)@\(^o^)/ [SA] 2016/12/20(火) 19:51:40.12 ID:VltRK9EF0.net
>>28
ソシャゲの運営に良運営など存在しない。
29: 河津掛け(やわらか銀行)@\(^o^)/ [US] 2016/12/20(火) 19:49:55.23 ID:ucDZQSbV0.net
意味がわからん
糞スレ立てんな
30: エルボーバット(家)@\(^o^)/ [IT] 2016/12/20(火) 19:50:03.12 ID:ZndZLmrL0.net
ソシャゲを全くやらない化石のような俺にわかりやすく説明を
41: フルネルソンスープレックス(dion軍)@\(^o^)/ [US] 2016/12/20(火) 19:52:48.77 ID:sqzuNC0I0.net
>>30
つまりネットのURLに他人のゲームIDを打ち込むと勝手にガチャ引けるってだけ
普通は公開したりしない
50: ヒップアタック(catv?)@\(^o^)/ [CN] 2016/12/20(火) 19:56:29.87 ID:278AsJUU0.net
>>41
詫びあるだろうから早く引いてお目当のもらいつつ詫びでもう一回お目当のもらうのが勝ちか
31: ドラゴンスクリュー(千葉県)@\(^o^)/ [US] 2016/12/20(火) 19:50:32.53 ID:gtP2kie+0.net
URL踏むだけでDB弄るんか…
33: TEKKAMAKI(SB-iPhone)@\(^o^)/ [JP] 2016/12/20(火) 19:50:51.77 ID:/VdmzbjY0.net
ありえないほどセキュリティガバガバ
34: ミッドナイトエクスプレス(チベット自治区)@\(^o^)/ [EU] 2016/12/20(火) 19:50:56.37 ID:/ftzHkqz0.net
駄菓子屋のババアのイチゴ飴並みの仕組み
36: ウエスタンラリアット(大阪府)@\(^o^)/ [DE] 2016/12/20(火) 19:51:42.87 ID:f9Qv3jcD0.net
お馬鹿さんなの?
39: ミッドナイトエクスプレス(チベット自治区)@\(^o^)/ [EU] 2016/12/20(火) 19:52:35.92 ID:/ftzHkqz0.net
マルチステートメントでsudoしてパスワード送信、っと。
40: フォーク攻撃(カナダ)@\(^o^)/ [ニダ] 2016/12/20(火) 19:52:39.66 ID:yVqs03CL0.net
冗談だろ?
43: 逆落とし(catv?)@\(^o^)/ [CN] 2016/12/20(火) 19:53:57.20 ID:PhMta1f00.net
これFGOが似たようなことやらかさなかった?
44: ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ [IN] 2016/12/20(火) 19:54:18.20 ID:L5kx3g5Y0.net
完全にやり方割れて他人にぶっ壊れ送り込むのもゴミ送り込むのもできるようになっててワロタ
45: エルボーバット(福岡県)@\(^o^)/ [PL] 2016/12/20(火) 19:54:22.54 ID:kye5CY7C0.net
ヤバくねこれ
46: 急所攻撃(神奈川県)@\(^o^)/ [ニダ] 2016/12/20(火) 19:54:36.14 ID:j3Ux1Zmt0.net
またまたご冗談を
え?マジなの
48: 男色ドライバー(禿)@\(^o^)/ [JP] 2016/12/20(火) 19:56:01.69 ID:Jt5l24MY0.net
巻き戻して終了じゃん
コメントの投稿