質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.40%

  • PHP

    24967questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • XSS

    34questions

    XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

XSS脆弱性を見つけてしまったので報告したい

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 8
  • VIEW 4,942

tanak

score 1

 前提・実現したいこと

結論からすると手間を掛けずに簡単に、匿名で報告したいです。

私とは全く関係ないとある企業のWebサイトの検索ページにXSS脆弱性を偶然にも見つけてしまったのでサイト管理者に報告したいです。

自分がWebサイトを作成する側という事もあり検索ボックスを見るとついついXSSやSQL Injectionがないかなんとなく心配になって調べてしまう事が何度かあるのですが(Webサイトの作りや雰囲気からなんとなく危なそうと感じることがある)、今回検索ボックスに「"><script>alert(1);</script>」と入れて検索すると偶然にも成功してしまいました。また、「'」を入力して検索するとHTTP 500になるのでSQL Injectionあたりも何かありそうな気がしましたがそれ以上は手を出していません。

ただ、以下の点が気になっていて報告に至っていません。

  • 詳しく調査した訳ではない。詳しく調査すると訴えられそう。かといって報告するには情報不足になりそうという微妙な所。

  • 個人がサイト運営者に直接報告すると逆に色々因縁をつけられて訴えられる場合がある(らしい)。

  • IPAのフォームから届け出を出すのが一般的(らしい)が必要項目が多いため面倒。
    (たまたま見つけてしまっただけなのでそれに対して時間を掛けたくないし、御礼の言葉や対価を得ようとも思っていない。ただ単に報告したい。ちゃんと治ったかどうかは気になりますが。)
    https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html

  • サービス開始したばかりという点もありサイト管理者としては脆弱性どうこうの対応する時間がとれそうにない、対策しないという方針になれば検索ボックスそのものがなくなってしまい、通常ユーザーが被害をうけてしまいそう

  • 今後もおそらく検索ボックスを見るとなんとなく脆弱性がありそうと感じることがあると思うし、その都度IPAのフォームから申請するのはしんどいので簡単に行いたいです。脆弱性を見つけてご飯を食べてる訳でもそれについて物申すことも特にしないので。。。

何かいい方法はありませんでしょうか。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • asahina1979

    2018/02/26 21:33

    通報しないでそういうことをして遊ぶのは悪意以外の何でもないよ

    キャンセル

  • asahina1979

    2018/02/26 21:35

    むしろここにどこどこに不具合があるということを他所(ここ)で出してる事自体訴えられる元

    キャンセル

回答 4

+21

『これ以上の回答並びに書き込みは不要です』とのことですが、質問者さん以外の方もご覧になるでしょうから、少々私見を述べたいと思います。

IPAが脆弱性届出制度を運用したり、一部企業が脆弱性報告の報奨金制度を運用していることからも分かるように、インターネット上のウェブサイト上で第三者が脆弱性を発見し、それを連絡することにより、インターネットの安全性が向上しているという事実があります。質問者さんの動機も、完全に善意によるものと推測いたします。

しかしながら、公開サイト上で脆弱性を探す行為は、法律違反になる可能性を常に含んでいることと、法律違反でないまでも、意図せずペナルティを受ける危険性があります。IPAが脆弱性届出制度を運用しているのは、そのような危険性から少しでも脆弱性届出者を守るため、という一面もあるかと思います。

脆弱性発見者がペナルティを受けてしまった例を2つあげます。一つは、ACCS不正アクセス事件で、これは脆弱性発見者が逮捕され、有罪判決を受けてしまった例です。

元研究員に有罪判決 ACCS不正アクセス事件 - ITmedia NEWS

もう一つは、高名なバグハンターである kinugawamasato 氏が、脆弱性を探索中にサイト運営会社からインターネットプロバイダに通報され、ネットを止められてしまった事例です。

バグハンターの哀しみ - slideshare

たぶんXSSが理由でインターネットがとまった

私も何度か脆弱性報告をしたことがありますが、確かに面倒なものですよね。しかし、現状では(サイト側が脆弱性報告窓口をもうけていない限り)避けがたいものです。また、前述のようなリスクもつきまとうものです。
なので、上記のようなリスクを追いたくない、面倒も避けたいという方は、脆弱性報告窓口がないウェブサイトでは、そもそも脆弱性を探さないほうが無難でしょう。また、脆弱性報告窓口があっても、不正アクセスまで許容しているわけではないでしょうから、ディレクトリトラバーサル等、不正アクセスになりやすい脆弱性を探すことは避けるべきかと思います。

この現状を改善するには、サイト運営者側の理解が不可欠ですので、そのような未来が来るといいなとは思いますが、現状は厳しそうです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/03/02 11:35

    質問者への叩かれぶりに若干違和感を覚えます。
    叩くんじゃなくて褒めるくらいの流れに持っていかないと、、、、
    https://www.nikkei.com/article/DGXMZO2756453001032018CR8000/
    こんなことに

    キャンセル

  • 2018/03/04 00:59

    質問者の質問は受け方によっては

    「XSS/SQLインジェクションがありそうなサイトを見つけました
    かかわりにならないように通報したいが面倒な通報はしたくないので
    どうしたらいいのか」

    逆説的にいえば
    「XSS/SQLインジェクションがありそうなサイトを見つけました
    面倒な通報はしないので脆弱性を試せるうちに試してください」
    とハッカーにいってるようなものだけどね

    キャンセル

  • 2018/03/04 11:57

    褒めるって^^;

    この人のやってることは不審行動です。褒められるものじゃないですよ。
    セキュリティ対策していない人に対して啓蒙を行うことと、不審行動を褒める事を一緒にしてはダメでしょ。

    キャンセル

+1

解決済みですが回答します。

この件に関しては、あまり深入りしない方がいいと思います。現実世界でもそうですが、下手に正義感を出して事件に首を突っ込むことで無用なトラブルに巻き込まれることがありますので、悲しいかな。

ただ質問者さんはセキュリティに対して意識の高い方だと思われますので、ぜひもっと広い視野を持ってセキュリティ分野の発展に貢献してくれることを期待します。(世間的にはセキュリティ人材は不足していると言われていますので)

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/03/04 11:54

    > 下手に正義感を出して事件に首を突っ込むことで無用なトラブルに巻き込まれることがありますので、悲しいかな。

    全然違うかと。。。
    この人のやってることって、マンションのドア片っ端からガチャガチャやって、カギかかってるか調べてるって状況です。ただの不審者です。

    ドアのカギを締めていない方も悪いですが、開いてるかどうかを確かめて歩くことも一般常識からして問題行動です。

    「カギを締めましょう」って啓蒙することは重要ですが、ドアガチャガチャする人を褒めるっていうのは、全く別の話です。
    ので、開いてることを確認してしまった場合、謝罪して開いていたことを伝える以外、解決方法は無いです。

    ましてや、この人の場合、ログまでとられちゃってますから。。。

    キャンセル

  • 2018/03/04 13:14

    コメントありがとうございます。

    たしかに一般人が家の鍵をガチャガチャやる行為はあまり褒められる行為ではないですね・・・(今回のケースでは質問者さんに悪意はなかったかとは思いますが)

    ひとまず今後同様の行為はしないよう慎むべきですね。

    キャンセル

check解決した方法

0

asahina1979さんからは「遊ぶ」「悪意以外何でもない」、
te2jiさんからは「興味本位」「容疑者」「まずい」と言われて非常に残念で同時に強い恐怖を覚えました。

正直な所、恐怖を覚えるという言葉で私の現在の感情を表す時が来るとは思いませんでした。

質問文にも気になっている点として「色々因縁をつけられて訴えられる場合がある」を挙げましたが、やはり真実だったようです。

色々思う所がある為、様々な部分に注意、配慮しつつ私の善意としてできる部分を努力しようとしていましたが、
いざ見つけてしまってからは意外と大変だったという感覚があり今回投稿しましたがどうやら間違っていたようです。

この件はIPAを通して適切に対応し今後一切私は同様の行為を行いません。
また、これ以上の回答並びに書き込みは不要です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/02/26 23:52

    そもそも XSSできる可能性 「"」「'」で表示が崩れた時点で
    試さずにそっと教えてあげるべきで

    気付いて勝手に試してあげるのは「不正指令電磁的記録に関する罪」にあたる場合があるんですが・・・

    キャンセル

  • 2018/02/27 00:00

    ちゃんと謝意も伝えたほうが良いですよ。
    今の状況は、留守宅のドア開けちゃって、開けたところを写真までとられた状況と同じなので。
    ドア開けちゃって、ごめんなさい。ドアあいてましたよ。って伝えないと、因縁つけられても文句言えないです。

    キャンセル

-1

ドメインの whois 情報の Contact Information/Admin/Tech あたりに、捨てメアドで報告とかですかねぇ。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/02/26 21:42

    データセンター管理者の場合もあるけどなぁ・w・

    キャンセル

  • 2018/02/26 21:46

    まぁ、それでも連絡だけは行く気がする。
    いずれにしても、「興味本位でためすなよ^^;」って話なんだけど。

    キャンセル

  • 2018/02/26 22:09

    海外のDC利用していなければね・・・

    キャンセル

  • 2018/02/26 22:27

    oh!想定外w
    ただ、今、対象のサーバで問題が発生すると、アクセスログからもれなく容疑者なんで、なんかアクションしとかないとまずいと思うんですよねぇ。。。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.40%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • PHP

    24967questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • XSS

    34questions

    XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。