SNS Advisory No.45
A certain company's website Potential Personal Information Leak Vulnerability

Problem first discovered: 22 Jun, 2001
Published: 30 Oct, 2001
Last revised: 26 Jan 2004

概要：
ある人材派遣会社のWebサイトではセッション情報の取り扱いに問題があり、登録された個人情報が漏洩する可能性がありました。

問題：
個人情報の参照や更新はユーザ名とパスワードによる認証が必要でしたが、セッション管理が適切に行われていない個所が存在しました。個人情報の更新機能へのリンク先に含まれていた下記パラメーター

CandID=100003034
を
CandID=100003035
に変更するだけで他人のプロフィールが閲覧できてしまいました。

対策：
発見後直ちに担当者に報告したところ、すぐに対策に着手し、問題のあったセッション管理が対策されました（2001年10月29日）。

発見者：
三輪信雄（LAC） n-miwa@lac.co.jp

更新履歴：
2001年10月30日：初版発行
2004年 1月26日：概要を変更

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/45.html