前回までのあらすじ

• セブン＆アイの通販サイトで価格の誤表示 - ITpro
• 問い合わせのメールを送っても返信来ない
• カスタマーに電話しても全然つながらない
• まだ残っている誤表記の商品URLがスレに書き込まれると商品ページががすぐに修正される
• 注文履歴が消されていく
• カジ速 | セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される
• カジ速 | セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明
• カジ速 | セブンアンドワイ、今度はソースコードを流出させる。← NEW！
• カジ速 | セブン個人情報流出問題、ついに ITmediaに掲載される･･･セブン「XSS脆弱性はもう対策した（ｷﾘｯ」→即XSS脆弱性が見つかる← NEXT

別の意味でオープンソース（爆）
祭りを追いかける元気はないけど、まとめサイトのおかげで楽でいいやｗ

7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出？ - スラッシュドット・ジャパン 2度も同じミスが連続してセキュリティも甘々なのにサービスを提供しつづけるのは顧客軽視としか思えない。
（中略）
　└サービスとめてしまったら、2chの方々がデバッグできなくなるじゃないですか。 糞ワロタｗ
1ch.tvの時もソースが漏れてネラーにダメだしされてたけれど今回も酷いや。
（1ch.tvの時は漏れたソースを改良した掲示板が立ち上げられたりｗ）

セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も　「個人情報流出はない」 - ITmedia News 「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 検証用のデモというのは普通、検証用の環境にカスタマイズした本番と同じプログラムですよねぇ。何を言いたいのか全然分からないぞｗ

XSSで個人情報の流出はなかったとして、注文履歴で漏れた個人情報はスルーするつもりなんですかね。

セブンネットショッピングは今後も使っちゃいけないって「覚えた！」ｗｗｗ


7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出? | 水無月ばけらのえび日記 URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。
bks.svlとesi.svlに脆弱性があり、本来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。

以上、冗長なUTF8によるディレクトリトラバーサル より

（中略）
7&YネットショッピングではApache Tomcat/4.1.29が使われているようですが
（中略）
少なくとも4.1.39以降にしておけば、ソースコードを見られることはなかったものと考えられます。7&Yネットショッピングは新しいサービスなのかと思っていましたが、古いミドルウェアを使い続けなければならない事情があったのでしょうか?
裏返すと「公開サーバから削除」したから対策終わりなんじゃなくて、