« アドレス交換に思ふ | メイン | 健康診断 »
2007年05月09日
IPAに脆弱性を届けてみよう
ゴールデンウィーク中に、よく行っていたサイトの脆弱性を見つけたのでさくっとIPAに報告してみたんです。
(去年もいろいろあったところだ!「他の問題が無いか精査する」って言ってたのに…)
…けど、あまりにも簡単に書きすぎたためか、内容に関する問い合わせのメールが帰ってきました。
「脆弱性の発見に至った経緯」という項目があるんですけど、具体的に書きにくい時ってありません?
普通にソース表示で見てたらそれらしいパラメータを指定してるaspがあったとか。
「脆弱性であると判断した理由」についてもそう。
「"nantoka.asp?key=';erase%20from%20all%20--"って書いてみたらWebサイトが見られなくなりました><」なんて書いたらこっちが通報されかねないですしね(笑)どう脆弱性となるかについては、実際に試してみないと何とも言えません。某サイトのcookieに含まれているADMIN_FLAGを、TRUEにしたらどうなるんだろう…どきどき。
…まあ、IPAへの届出はこれが初めてじゃないんでそれは良いのですが、せめて文例みたいなのが欲しいですねえ。
それより、発見者が自らの氏名や連絡先を明示しないと届出できないというのはちょっと敷居が高い気もします。実際のところ匿名で受け付けられている例もあるようですし、IPAが実際どのように個人情報を扱っているかも分からないので、連絡先は書きませんでした。メールアドレスがあるし、ちょっと調べればすぐ分かるし。(だから別に隠す必要ないんだけどね)
私としては、よく行くサイトほど安全であって欲しいので、危険分子があればドンドン報告したいんですが、そんな体制作りはされてないんですよねー(というか私ゃベータテスタか!)
これで受理拒否とかになったら、Webサイト側は脆弱性の存在を知らないままになるのかなぁ~。
日本はまだまだセキュリティ意識低いし。はぁ…。
投稿者 KACKUN : 2007年05月09日 21:11
トラックバック
このエントリーのトラックバックURL:
http://www.kackun.com/mt/mt-tb.cgi/708
コメント
まいど
ネット復帰したのね よかったよかった
投稿者 マクガイバー : 2007年05月09日 22:50
>マックさん
ローカル環境がいまごちゃごちゃなので、まだ本調子じゃないけど(笑)
そろそろいろいろ動き出しますわ~
今後ともよろしくです。
投稿者 KACKUN : 2007年05月10日 08:21