質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

Q&A

解決済

4回答

10962閲覧

XSS脆弱性を見つけてしまったので報告したい

tanak

総合スコア7

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

4グッド

9クリップ

投稿2018/02/26 12:02

編集2018/02/26 12:08

前提・実現したいこと

結論からすると手間を掛けずに簡単に、匿名で報告したいです。

私とは全く関係ないとある企業のWebサイトの検索ページにXSS脆弱性を偶然にも見つけてしまったのでサイト管理者に報告したいです。

自分がWebサイトを作成する側という事もあり検索ボックスを見るとついついXSSやSQL Injectionがないかなんとなく心配になって調べてしまう事が何度かあるのですが(Webサイトの作りや雰囲気からなんとなく危なそうと感じることがある)、今回検索ボックスに「"><script>alert(1);</script>」と入れて検索すると偶然にも成功してしまいました。また、「'」を入力して検索するとHTTP 500になるのでSQL Injectionあたりも何かありそうな気がしましたがそれ以上は手を出していません。

ただ、以下の点が気になっていて報告に至っていません。

  • 詳しく調査した訳ではない。詳しく調査すると訴えられそう。かといって報告するには情報不足になりそうという微妙な所。
  • 個人がサイト運営者に直接報告すると逆に色々因縁をつけられて訴えられる場合がある(らしい)。
  • IPAのフォームから届け出を出すのが一般的(らしい)が必要項目が多いため面倒。

(たまたま見つけてしまっただけなのでそれに対して時間を掛けたくないし、御礼の言葉や対価を得ようとも思っていない。ただ単に報告したい。ちゃんと治ったかどうかは気になりますが。)
https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html

  • サービス開始したばかりという点もありサイト管理者としては脆弱性どうこうの対応する時間がとれそうにない、対策しないという方針になれば検索ボックスそのものがなくなってしまい、通常ユーザーが被害をうけてしまいそう

  • 今後もおそらく検索ボックスを見るとなんとなく脆弱性がありそうと感じることがあると思うし、その都度IPAのフォームから申請するのはしんどいので簡単に行いたいです。脆弱性を見つけてご飯を食べてる訳でもそれについて物申すことも特にしないので。。。

何かいい方法はありませんでしょうか。

takey, HayatoKamono, m0a👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/02/26 12:33

通報しないでそういうことをして遊ぶのは悪意以外の何でもないよ
退会済みユーザー

退会済みユーザー

2018/02/26 12:35

むしろここにどこどこに不具合があるということを他所(ここ)で出してる事自体訴えられる元
guest

回答4

0

『これ以上の回答並びに書き込みは不要です』とのことですが、質問者さん以外の方もご覧になるでしょうから、少々私見を述べたいと思います。

IPAが脆弱性届出制度を運用したり、一部企業が脆弱性報告の報奨金制度を運用していることからも分かるように、インターネット上のウェブサイト上で第三者が脆弱性を発見し、それを連絡することにより、インターネットの安全性が向上しているという事実があります。質問者さんの動機も、完全に善意によるものと推測いたします。

しかしながら、公開サイト上で脆弱性を探す行為は、法律違反になる可能性を常に含んでいることと、法律違反でないまでも、意図せずペナルティを受ける危険性があります。IPAが脆弱性届出制度を運用しているのは、そのような危険性から少しでも脆弱性届出者を守るため、という一面もあるかと思います。

脆弱性発見者がペナルティを受けてしまった例を2つあげます。一つは、ACCS不正アクセス事件で、これは脆弱性発見者が逮捕され、有罪判決を受けてしまった例です。

元研究員に有罪判決 ACCS不正アクセス事件 - ITmedia NEWS

もう一つは、高名なバグハンターである kinugawamasato 氏が、脆弱性を探索中にサイト運営会社からインターネットプロバイダに通報され、ネットを止められてしまった事例です。

バグハンターの哀しみ - slideshare

たぶんXSSが理由でインターネットがとまった

私も何度か脆弱性報告をしたことがありますが、確かに面倒なものですよね。しかし、現状では(サイト側が脆弱性報告窓口をもうけていない限り)避けがたいものです。また、前述のようなリスクもつきまとうものです。
なので、上記のようなリスクを追いたくない、面倒も避けたいという方は、脆弱性報告窓口がないウェブサイトでは、そもそも脆弱性を探さないほうが無難でしょう。また、脆弱性報告窓口があっても、不正アクセスまで許容しているわけではないでしょうから、ディレクトリトラバーサル等、不正アクセスになりやすい脆弱性を探すことは避けるべきかと思います。

この現状を改善するには、サイト運営者側の理解が不可欠ですので、そのような未来が来るといいなとは思いますが、現状は厳しそうです。

投稿2018/02/27 01:28

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/03/03 15:59

質問者の質問は受け方によっては 「XSS/SQLインジェクションがありそうなサイトを見つけました かかわりにならないように通報したいが面倒な通報はしたくないので どうしたらいいのか」 逆説的にいえば 「XSS/SQLインジェクションがありそうなサイトを見つけました 面倒な通報はしないので脆弱性を試せるうちに試してください」 とハッカーにいってるようなものだけどね
退会済みユーザー

退会済みユーザー

2018/03/04 02:57

褒めるって^^; この人のやってることは不審行動です。褒められるものじゃないですよ。 セキュリティ対策していない人に対して啓蒙を行うことと、不審行動を褒める事を一緒にしてはダメでしょ。
guest

0

解決済みですが回答します。

この件に関しては、あまり深入りしない方がいいと思います。現実世界でもそうですが、下手に正義感を出して事件に首を突っ込むことで無用なトラブルに巻き込まれることがありますので、悲しいかな。

ただ質問者さんはセキュリティに対して意識の高い方だと思われますので、ぜひもっと広い視野を持ってセキュリティ分野の発展に貢献してくれることを期待します。(世間的にはセキュリティ人材は不足していると言われていますので)

投稿2018/03/03 14:57

bassbone

総合スコア767

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/03/04 02:54

> 下手に正義感を出して事件に首を突っ込むことで無用なトラブルに巻き込まれることがありますので、悲しいかな。 全然違うかと。。。 この人のやってることって、マンションのドア片っ端からガチャガチャやって、カギかかってるか調べてるって状況です。ただの不審者です。 ドアのカギを締めていない方も悪いですが、開いてるかどうかを確かめて歩くことも一般常識からして問題行動です。 「カギを締めましょう」って啓蒙することは重要ですが、ドアガチャガチャする人を褒めるっていうのは、全く別の話です。 ので、開いてることを確認してしまった場合、謝罪して開いていたことを伝える以外、解決方法は無いです。 ましてや、この人の場合、ログまでとられちゃってますから。。。
bassbone

2018/03/04 04:14

コメントありがとうございます。 たしかに一般人が家の鍵をガチャガチャやる行為はあまり褒められる行為ではないですね・・・(今回のケースでは質問者さんに悪意はなかったかとは思いますが) ひとまず今後同様の行為はしないよう慎むべきですね。
guest

0

自己解決

asahina1979さんからは「遊ぶ」「悪意以外何でもない」、
te2jiさんからは「興味本位」「容疑者」「まずい」と言われて非常に残念で同時に強い恐怖を覚えました。

正直な所、恐怖を覚えるという言葉で私の現在の感情を表す時が来るとは思いませんでした。

質問文にも気になっている点として「色々因縁をつけられて訴えられる場合がある」を挙げましたが、やはり真実だったようです。

色々思う所がある為、様々な部分に注意、配慮しつつ私の善意としてできる部分を努力しようとしていましたが、
いざ見つけてしまってからは意外と大変だったという感覚があり今回投稿しましたがどうやら間違っていたようです。

この件はIPAを通して適切に対応し今後一切私は同様の行為を行いません。
また、これ以上の回答並びに書き込みは不要です。

投稿2018/02/26 14:31

tanak

総合スコア7

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/02/26 14:52

そもそも XSSできる可能性 「"」「'」で表示が崩れた時点で 試さずにそっと教えてあげるべきで 気付いて勝手に試してあげるのは「不正指令電磁的記録に関する罪」にあたる場合があるんですが・・・
退会済みユーザー

退会済みユーザー

2018/02/26 15:00

ちゃんと謝意も伝えたほうが良いですよ。 今の状況は、留守宅のドア開けちゃって、開けたところを写真までとられた状況と同じなので。 ドア開けちゃって、ごめんなさい。ドアあいてましたよ。って伝えないと、因縁つけられても文句言えないです。
guest

0

ドメインの whois 情報の Contact Information/Admin/Tech あたりに、捨てメアドで報告とかですかねぇ。

投稿2018/02/26 12:23

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/02/26 12:42

データセンター管理者の場合もあるけどなぁ・w・
退会済みユーザー

退会済みユーザー

2018/02/26 12:46

まぁ、それでも連絡だけは行く気がする。 いずれにしても、「興味本位でためすなよ^^;」って話なんだけど。
退会済みユーザー

退会済みユーザー

2018/02/26 13:09

海外のDC利用していなければね・・・
退会済みユーザー

退会済みユーザー

2018/02/26 13:27

oh!想定外w ただ、今、対象のサーバで問題が発生すると、アクセスログからもれなく容疑者なんで、なんかアクションしとかないとまずいと思うんですよねぇ。。。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問