Aspark Members: Plaintext username/password POST warning, skip 2FA & Disable Right‑Click hijack

Show login-warning modal with raw credentials (persists after redirect); bypass the pointless 2FA/question page — because it’s useless and broken; enable right‑click/text selection. Urgent: the site has multiple other glaring vulnerabilities.

Nainstalovat skript ?

Zeptejte se na otázku, přidejte recenzi nebo skript nahlašte.

Autor

Peter Mueller

Denně instalací

Celkem instalací

Hodnocení

0 0 0

Verze

2.0

Vytvořeno

02. 11. 2024

Aktualizováno

11. 10. 2025

Size

4,8 KB

Licence

Unlicense

Spustit na

aspmembers.com

English

Description

Shows the username and password the login page sends as plain text, skips the pointless post‑login security question (redirects to top.php) and enables right‑click/text selection on the contribution page.

Details

Aspark presents itself as an engineering/HR group with global offices and several thousand employees (company materials claim ~3,500 staff and multiple offices across Japan). It’s one of the largest dispatch companies in Japan and says it builds corporate and e‑commerce sites. Fine - except their site security and privacy policy are dire. In early 2025 unhashed usernames, passwords, documents uploaded to the aspmembers portal and other private staff data were leaked after a PHP vulnerability was exploited. It was reported to Aspark repeatedly and ignored.

What this script does (automates)

Shows the username and password that the login page sends as plaintext (a modal displays the raw credentials).
Automates skipping the 2FA/security question by redirecting past the question page to top.php (the same action a user could do manually).
Enables right‑click and text selection on the document contribution page.

Privacy/security note

Credentials are shown and briefly stored in your browser’s localStorage until you dismiss the modal — use with "caution" (not that it matters: your login details and uploaded documents leaked unencrypted/unhashed in early 2025 and the page still POSTs in plain text).

日本語

説明

ログインページで送信される平文のユーザー名とパスワードを表示し、ログイン後の形だけのセキュリティ質問をスキップして（top.phpへリダイレクト）、投稿ページで右クリックやテキスト選択を有効にします。

詳細

アスパークはエンジニア派遣や人事関連業務を行い、世界各地に拠点を持つ企業で、従業員数は約3,500名とされています。しかし、同社のサイトにおけるセキュリティとプライバシー管理は正直かなり問題があります。 2025年初頭、Asparkの会員向けポータルサイト「aspmembers」でPHPの脆弱性が悪用され、ハッシュ化されていないユーザー名やパスワード、アップロードされた書類などの個人情報が流出しました。複数回にわたって報告があったにもかかわらず、長期間放置されていました。

スクリプトの機能（自動化）

ログインフォームで送信されるユーザー名とパスワードをモーダル上にそのまま表示
不要な二段階認証／質問ページを自動でスキップし、top.phpへリダイレクト（手作業の自動化）
ドキュメント投稿ページで右クリックおよびテキスト選択を有効化

プライバシー／セキュリティ上の注意

認証情報はモーダル上で表示され、ブラウザのlocalStorageに一時的に保存されます。「注意してください」と言いたいところですが、実際にはあまり意味はありません。なぜなら、2025年初頭にログイン情報やアップロード書類が平文のまま流出しており、現在もこのページは平文でPOSTを行っているためです。