Formのmethodをpatchからdeleteに変えて更新ボタン押してみたら




武藤スナイパーカスタム🔫
@__tai2__

mamorio、退会機能がユーザー解放されてなさそうだから、サポートに削除依頼しようと思ったんだけど、なんかURLとかForm見るとRailsっぽいし、ためしにユーザー更新ページで、Formのmethodをpatchからdeleteに変えて更新ボタン押してみたら、サポートの手を煩わせずにちゃんとユーザー削除できた。

mamorio、退会機能がユーザー解放されてなさそうだから、サポートに削除依頼しようと思ったんだけど、なんかURLとかForm見るとRailsっぽいし、ためしにユーザー更新ページで、Formのmethodをpatchからdeleteに変えて更新ボタン押してみたら、サポートの手を煩わせずにちゃんとユーザー削除できた

09:50 – 2020年05月19日




ツイートに対するネットの反応

Keisuke Nishitani
@Keisuke69

これはグレーゾーンw ちゃんと殺せてないサービス側も問題だけど、やれるからってやっちゃっていいかってのは別問題か。そもそもちゃんとアプリケーション的に整合性もって削除されてるかはわからないし。でも公開されてるのは迂闊だよなー。見えないだけで公開されてる状態。

12:55 – 2020年05月19日

H_Yamaguchi
@H_Yamaguchi

そもそも、退会機能付けてないのが問題なんだけど、内部でデータの不整合とか起きて、それが原因でシステムがダウンとかなったら夜も眠れないな。

12:53 – 2020年05月19日

taiga@業務自動化コンサル&プログラマー
@taiga_autosys

泉水亮介@MAMORIO
@rsensui

元々以前はWEB上で公開していたMAMORIO APIを叩かれたのと同じなので、法的手段とかはありえませんです。

セキュリティホール的に他のユーザーさんの位置情報が削除出来るとか、情報を閲覧出来るというような類のものではございませんのでご安心頂ければと…
ただ、中途半端なので是正します。

12:40 – 2020年05月19日

渋川よしき
@shibu_jp

これこそ、RESTのRoy Fieldingの目指す世界そのものではないか

12:36 – 2020年05月19日

潤松下
@jun6428

あかね
@akanewz

最後が「できそう」で終わってたらセーフだった

12:22 – 2020年05月19日

翳河翔 学生趣味プログラマ
@kakerigawa

これ、wpでwp-adminにアクセスするのと同等に、少なくとも(低レベルだけど)界隈人の感覚で言うとサーバーに不正ログインしたわけではない。通常ログインのまま行ってるし、HTTPのプロトコルに従った通信しかしてない(変なデータ送ってエラー起こしたわけでもない)し、不正アクセスの感覚はないんだよな

12:22 – 2020年05月19日




ぽうひろ@論理無職解除
@pouhiroshi