 |
〜きまぐれ ぷろぐらま語録〜 |
| ← | 2025年5月 | → | |||||
| 日 | 月 | 火 | 水 | 木 | 金 | 土 | |
| 1 | 2 | 3 | |||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 | |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 | |
| 18 | 19 | 20 | 21 | 22 | 23 |
|
|
| 25 | 26 | 27 | 28 | 29 | 30 | 31 | |
| 最近の記事 |
| Blog移転
|
| 過去ログ 【表示/最小化】 |
| 広告欄 |
| Blogを移転させました。 新Blogは次のURLです。 →https://kerokero.org/wp/ |
| 脆弱なシステムを見つけたら |
| 最近、いろんなシステムのハッキングが流行していますね。 まぁ、100%安全なシステムというのは無く、 ソーシャルクラッキングに対する脆弱性が世の中に溢れて居ることは、 今日の、オレオレ詐欺を見ていれば分かりますよね? とはいえ、使い古されたハッキング手法というのはあるわけで、 Webブラウジングしていると、 そういうWell-Knownな脆弱性を持つシステムを、 うっかり見つけてしまうこともしばしばあります。 では、そういうのを見つけたらどうするべきか? 公の場で公言する ・・・は一番やってはいけません。 もし、自分しか知らない脆弱性を公言して、 それを元に、第三者が攻撃したら自分も罪に問われかねないです。 もちろん 脆弱性を利用して取得した機密データを公開 などは、善良な市民のすることではないことは言うまでもないでしょう。 運営者に報告する というのは、一見妥当そうに見えますが、 報告の仕方によっては、いたずらとして無視されたり、 クラッカーとして通報されたりしかねません。 また、運営者がセキュリティーに詳しいとも限らず、いろいろと面倒事が起きることもあります。 放置する というのも一つの手ではありますが、 脆弱性を見つけたと言うことは、 脆弱性を見つけられるアクセスをしていると言うことなので、 当然、そのことは先方のアクセス履歴に残ります。 そのため、問題が起きたときに、疑われる可能性があります。 では、どうするべきか?どう考えても、 そういったモノの通報機関に通報 が一番良い解決方法です。 2009年1月、自分はとある有名周辺機器メーカーの 問い合わせフォームで問い合わせをしようとしたところ、 その問い合わせフォームにXSS脆弱性があることに気がつきました。 そろそろ、時効だと思うので、以下、そのときの記録です。 ステップ1:メーカーに直接通報そのメーカーさんは自分の好きなメーカーだったので、事を荒立てたくないと思い、脆弱性の報告を ・自分の本名や住所、電話番号などと ・それが、恐らく正しい物だろうと判断可能なとある情報 を付けて、そのメーカーのサポート窓口に直接連絡しました。 ところが、そのメーカーからの返答はなく、あろう事か、そのメーカーは 「その問題になっている問い合わせフォームへのリンクを、 トップページから無くす」 だけでお茶を濁したのです。 もちろん、リンクを外しただけでは、対応は不十分で、 問題の起きているフォームを完全に閉じなければ安全とは言えません。 というのも、URLを知っていれば、その脆弱性を悪用できてしまうためです。 この時点で、サポートの窓口経由では、 セキュリティーに詳しい人間には連絡が行かないということだと判断して 自分は方針を正攻法に変更しました。 ステップ2:IPAに通報IPA、つまり、独立行政法人情報処理推進機構はこういった脆弱性情報の日本における通報窓口の1つです。 早速、これまでの経緯を窓口で書式に従って報告します。 もちろん、リンクが無くなっただけで根本的な問題解決になってないことも指摘します。 これが1月19日の事でした。 ・・・と、基本的に、通報者が行うことはこれだけです。 あとは通報の内容が正しければ、 IPAが当該のサイトへの指導をしてくれます。 ステップ3:IPAからの受理の連絡ただ、問題は、通報から受理までの期間です。通報したのが、XSSという〜これはこれで問題は大きいけど〜脆弱性の中でも 会社が即死するようなクリティカルな脆弱性では無いためなのかも知れませんが、 通報から1ヶ月以上たった3月11日にやっと連絡が来ました。 メールの内容は ・届け出の書式に不備などが無いことを確認した ・なので、対応を開始する。 といった内容です。 このメールが届いたときに、問題のメーカーのサイトを見てみましたが、 相変わらず、脆弱性は残ったままでしたヾ(゜Д゜ )オイオイ ステップ4:IPAからの取り扱い開始の連絡そしてその数日後、3月13日には、問題のメーカーへの脆弱性の通知が行われたというメールが届きます。 ステップ5:IPAからの修正完了の連絡そして、また日が経って4月9日に、・ウェブサイトの管理者から修正が貫流したとの報告がありました ・問題なければこれで終了となります。 といった内容のメールが来ます。 この時点で当該Webサイトからは、 この時見つけたXSS脆弱性のページが削除されていることを確認しました。 そこで、問題が無い旨を連絡して終了です。 本当は、この一連のメールをBlogに掲載したいところですが、 先方の許可を得てないので、公開は控えます。 ですが、上に書いたとおり脆弱性の通報は意外と簡単で、 最初に通報をすれば、あとはIPAがその後の対応をしてくれます。 もし、脆弱性を見つけたら、自分のこの経験を参考にしてもらえれば。 |
■コメント
■コメントを書く
※コメントの受け付けは終了しました| 最新のつぶやき |
| サイト内検索 |
カスタム検索
|
| 旅行関係の記事等 |
|
九州・広島旅行記 2009(かみちゅ!) 大阪出張(KANON) 大阪出張(ハルヒ) 三宅島旅行記'05 三宅島旅行記'08 三宅島旅行記'10 伊豆半島小旅行 |
| 最近のコメント |
| 最近のトラックバック |
| IPv4枯渇時計 |
| 携帯で読む |
| URLを携帯に送る |
![[Valid RSS]](/blog/valid-rss.png "Validate my RSS feed")