Q&A
通報しないでそういうことをして遊ぶのは悪意以外の何でもないよ
前提・実現したいこと
結論からすると手間を掛けずに簡単に、匿名で報告したいです。
私とは全く関係ないとある企業のWebサイトの検索ページにXSS脆弱性を偶然にも見つけてしまったのでサイト管理者に報告したいです。
自分がWebサイトを作成する側という事もあり検索ボックスを見るとついついXSSやSQL Injectionがないかなんとなく心配になって調べてしまう事が何度かあるのですが(Webサイトの作りや雰囲気からなんとなく危なそうと感じることがある)、今回検索ボックスに「"><script>alert(1);</script>」と入れて検索すると偶然にも成功してしまいました。また、「'」を入力して検索するとHTTP 500になるのでSQL Injectionあたりも何かありそうな気がしましたがそれ以上は手を出していません。
ただ、以下の点が気になっていて報告に至っていません。
- 詳しく調査した訳ではない。詳しく調査すると訴えられそう。かといって報告するには情報不足になりそうという微妙な所。
- 個人がサイト運営者に直接報告すると逆に色々因縁をつけられて訴えられる場合がある(らしい)。
- IPAのフォームから届け出を出すのが一般的(らしい)が必要項目が多いため面倒。
(たまたま見つけてしまっただけなのでそれに対して時間を掛けたくないし、御礼の言葉や対価を得ようとも思っていない。ただ単に報告したい。ちゃんと治ったかどうかは気になりますが。)
https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html
-
サービス開始したばかりという点もありサイト管理者としては脆弱性どうこうの対応する時間がとれそうにない、対策しないという方針になれば検索ボックスそのものがなくなってしまい、通常ユーザーが被害をうけてしまいそう
-
今後もおそらく検索ボックスを見るとなんとなく脆弱性がありそうと感じることがあると思うし、その都度IPAのフォームから申請するのはしんどいので簡単に行いたいです。脆弱性を見つけてご飯を食べてる訳でもそれについて物申すことも特にしないので。。。
何かいい方法はありませんでしょうか。
むしろここにどこどこに不具合があるということを他所(ここ)で出してる事自体訴えられる元
回答4件
0
『これ以上の回答並びに書き込みは不要です』とのことですが、質問者さん以外の方もご覧になるでしょうから、少々私見を述べたいと思います。
IPAが脆弱性届出制度を運用したり、一部企業が脆弱性報告の報奨金制度を運用していることからも分かるように、インターネット上のウェブサイト上で第三者が脆弱性を発見し、それを連絡することにより、インターネットの安全性が向上しているという事実があります。質問者さんの動機も、完全に善意によるものと推測いたします。
しかしながら、公開サイト上で脆弱性を探す行為は、法律違反になる可能性を常に含んでいることと、法律違反でないまでも、意図せずペナルティを受ける危険性があります。IPAが脆弱性届出制度を運用しているのは、そのような危険性から少しでも脆弱性届出者を守るため、という一面もあるかと思います。
脆弱性発見者がペナルティを受けてしまった例を2つあげます。一つは、ACCS不正アクセス事件で、これは脆弱性発見者が逮捕され、有罪判決を受けてしまった例です。
元研究員に有罪判決 ACCS不正アクセス事件 - ITmedia NEWS
もう一つは、高名なバグハンターである kinugawamasato 氏が、脆弱性を探索中にサイト運営会社からインターネットプロバイダに通報され、ネットを止められてしまった事例です。
私も何度か脆弱性報告をしたことがありますが、確かに面倒なものですよね。しかし、現状では(サイト側が脆弱性報告窓口をもうけていない限り)避けがたいものです。また、前述のようなリスクもつきまとうものです。
なので、上記のようなリスクを追いたくない、面倒も避けたいという方は、脆弱性報告窓口がないウェブサイトでは、そもそも脆弱性を探さないほうが無難でしょう。また、脆弱性報告窓口があっても、不正アクセスまで許容しているわけではないでしょうから、ディレクトリトラバーサル等、不正アクセスになりやすい脆弱性を探すことは避けるべきかと思います。
この現状を改善するには、サイト運営者側の理解が不可欠ですので、そのような未来が来るといいなとは思いますが、現状は厳しそうです。
投稿2018/02/27 01:28
総合スコア11705
質問者への叩かれぶりに若干違和感を覚えます。
叩くんじゃなくて褒めるくらいの流れに持っていかないと、、、、
https://www.nikkei.com/article/DGXMZO2756453001032018CR8000/
こんなことに
質問者の質問は受け方によっては
「XSS/SQLインジェクションがありそうなサイトを見つけました
かかわりにならないように通報したいが面倒な通報はしたくないので
どうしたらいいのか」
逆説的にいえば
「XSS/SQLインジェクションがありそうなサイトを見つけました
面倒な通報はしないので脆弱性を試せるうちに試してください」
とハッカーにいってるようなものだけどね
褒めるって^^;
この人のやってることは不審行動です。褒められるものじゃないですよ。
セキュリティ対策していない人に対して啓蒙を行うことと、不審行動を褒める事を一緒にしてはダメでしょ。
0
解決済みですが回答します。
この件に関しては、あまり深入りしない方がいいと思います。現実世界でもそうですが、下手に正義感を出して事件に首を突っ込むことで無用なトラブルに巻き込まれることがありますので、悲しいかな。
ただ質問者さんはセキュリティに対して意識の高い方だと思われますので、ぜひもっと広い視野を持ってセキュリティ分野の発展に貢献してくれることを期待します。(世間的にはセキュリティ人材は不足していると言われていますので)
投稿2018/03/03 14:57
総合スコア767
> 下手に正義感を出して事件に首を突っ込むことで無用なトラブルに巻き込まれることがありますので、悲しいかな。
全然違うかと。。。
この人のやってることって、マンションのドア片っ端からガチャガチャやって、カギかかってるか調べてるって状況です。ただの不審者です。
ドアのカギを締めていない方も悪いですが、開いてるかどうかを確かめて歩くことも一般常識からして問題行動です。
「カギを締めましょう」って啓蒙することは重要ですが、ドアガチャガチャする人を褒めるっていうのは、全く別の話です。
ので、開いてることを確認してしまった場合、謝罪して開いていたことを伝える以外、解決方法は無いです。
ましてや、この人の場合、ログまでとられちゃってますから。。。
コメントありがとうございます。
たしかに一般人が家の鍵をガチャガチャやる行為はあまり褒められる行為ではないですね・・・(今回のケースでは質問者さんに悪意はなかったかとは思いますが)
ひとまず今後同様の行為はしないよう慎むべきですね。
0
自己解決
asahina1979さんからは「遊ぶ」「悪意以外何でもない」、
te2jiさんからは「興味本位」「容疑者」「まずい」と言われて非常に残念で同時に強い恐怖を覚えました。
正直な所、恐怖を覚えるという言葉で私の現在の感情を表す時が来るとは思いませんでした。
質問文にも気になっている点として「色々因縁をつけられて訴えられる場合がある」を挙げましたが、やはり真実だったようです。
色々思う所がある為、様々な部分に注意、配慮しつつ私の善意としてできる部分を努力しようとしていましたが、
いざ見つけてしまってからは意外と大変だったという感覚があり今回投稿しましたがどうやら間違っていたようです。
この件はIPAを通して適切に対応し今後一切私は同様の行為を行いません。
また、これ以上の回答並びに書き込みは不要です。
投稿2018/02/26 14:31
総合スコア7
そもそも XSSできる可能性 「"」「'」で表示が崩れた時点で
試さずにそっと教えてあげるべきで
気付いて勝手に試してあげるのは「不正指令電磁的記録に関する罪」にあたる場合があるんですが・・・
ちゃんと謝意も伝えたほうが良いですよ。
今の状況は、留守宅のドア開けちゃって、開けたところを写真までとられた状況と同じなので。
ドア開けちゃって、ごめんなさい。ドアあいてましたよ。って伝えないと、因縁つけられても文句言えないです。
0
ドメインの whois 情報の Contact Information/Admin/Tech あたりに、捨てメアドで報告とかですかねぇ。
投稿2018/02/26 12:23
退会済みユーザー
総合スコア0
データセンター管理者の場合もあるけどなぁ・w・
まぁ、それでも連絡だけは行く気がする。
いずれにしても、「興味本位でためすなよ^^;」って話なんだけど。
海外のDC利用していなければね・・・
oh!想定外w
ただ、今、対象のサーバで問題が発生すると、アクセスログからもれなく容疑者なんで、なんかアクションしとかないとまずいと思うんですよねぇ。。。
あなたの回答
tips
プレビュー
