最近、7payに「パスワード再登録のメールを、電話番号とメールアドレスが分かれば、任意のメルアドに送付できる」脆弱性がありました。
これは脆弱性診断で見つけるべき問題なのでしょうか?
ネット上では意見が割れているので気になってしまいました。
まず定義として、今回見つかった脆弱性は「改ざん等の攻撃を行わず、仕様書通りの普通の操作を行って成り立つ攻撃」と認識しています。
そこで調査としてIPAが規定する「ウェブ健康診断仕様」を参照してみました。
https://www.ipa.go.jp/security/vuln/websecurity.html
仕様書の中で、今回の攻撃に最も近い脆弱性として「 認可制御の不備、欠落 」が当てはまるかと思います。
ただ、この観点もあくまで改ざんや、設計者の意図しない動作を行った際の攻撃であり、今回の様に普通に使用して攻撃が成り立つ類のものではない気もします。
このような「普通の操作を行って成り立つ攻撃」は脆弱性診断の対象でしょうか?
仮に対象であるなら、診断する人はそのシステム全ての要求仕様を理解し、あらゆる可能性を想像する難易度の高い(責任の広すぎる)業務になる気もします。
追記:
契約としては、上記の「ウェブ健康診断仕様」を観点とする場合が多いと思います。