質問 > フロント機能 > 仮登録の段階で勝手に本登録になってしまう |
フロント機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
KTA |
投稿日時: 2019/11/7 18:39
対応状況: 確認中
|
半人前 登録日: 2019/4/17 居住地: 投稿: 11 |
仮登録の段階で勝手に本登録になってしまう 会員登録時にエラーがでます。
仮登録の段階で勝手に本登録になってしまいます。 非常に大きな問題です。 [現象] ログを確認したところ ユーザーがAと言うIP を使って仮登録 仮登録後、Xと言うIpが本登録(平均3分以内) ユーザーがAと言うIPで本登録を試みてエラー という流れです。 上記の流れからXと言うIPからのアクセスは意図しないものと思われます。 意図しないアクセスを行なっているIPは現在把握できているもので4個。ホストは2個でいずれも北米からのアクセスとなっています。 こういう現象になられた方はいますでしょうか? これは非常に大きな問題です。 [レンタルサーバ] Xサーバー [PHP] php7.1.28 [導入プラグインの有無] 商品規格画像アップロードプラグイン 会員項目追加プラグイン 送料無料対象商品設定プラグイン 配送方法設定拡張プラグイン Google Tag Manager コンテナタグ設置プラグイン メールテンプレート機能拡張プラグイン 領収書出力プラグイン 売上集計プラグイン ソニーペイメントサービス決済プラグイン 商品並び替えプラグイン taba secure 2段階認証プラグイン |
umebius |
投稿日時: 2019/11/8 8:56
対応状況: −−−
|
神 登録日: 2016/7/22 居住地: 投稿: 2085 |
Re: 仮登録の段階で勝手に本登録になってしまう システムとしては本会員にするには/entry/activate/ランダム文字列というURLにアクセスしなければならない想定です
ランダム文字列はある程度長さがあり、ランダムでは簡単には破れなくなっています。 引用: >仮登録後、Xと言うIpが本登録(平均3分以内) こちらはランダムに多数のアクセスがあり、正しいURLにヒットしてしまうということでしょうか? それともログには1度や少ない回数のアクセスしか記録されていないということでしょうか?
|
468 |
投稿日時: 2019/11/8 9:00
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: 仮登録の段階で勝手に本登録になってしまう ECUBE3には第3者が本登録を行えようにランダムなキーを用いてチェックする仕組みがあります。
本会員登録用URLの https://***/entry/activate/{secret_key} の{secret_key}にあたる部分です。 外部のXからのアクセスは確実に{secret_key}を理解してアクセスしてきているのでしょうか? また仮会員登録を行うと必ずXからのアクセスがあるのでしょうか? もし、{secret_key}を理解して仮会員登録時に必ずXからのアクセスがあるのであれば ECCUBEに何か不要なプログラム(Xにsecret_keyを通知する等?)が仕込まれている、 またはデータベースにアクセスされている可能性が高いと思います。 通常、{secret_key}は仮会員登録メール、またはDBのdtb_customerテーブルのsecret_keyカラムを見ないと値が分からないと思いますので。
|
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |