Webアプリケーション脆弱性により、本来知ってはならない情報を知った場合は、しっかりと報告すれば問題はないのでしょうか?
ケースとしては
- ボタン操作の誤りなど、偶然的に脆弱性を見つけた場合
- 意図的に脆弱性を見つける目的で、何らかの操作(SQLインジェクションなど)をした場合
です。
よろしくおねがいします
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答2件
0
ベストアンサー
IPAの脆弱性報告窓口というのがあります。
http://www.ipa.go.jp/security/vuln/report/
こちらに報告するのが現在最も間違いのない手段です。
サービス事業者に報告してももちろん構わないのですが、握りつぶされる、もしくは犯人扱いされるという事態を避けるには公的機関を経由する方が確実です。
なお、
- 意図的に脆弱性を見つける目的で、何らかの操作(SQLインジェクションなど)をした場合
ですが、正常な操作での振る舞いから脆弱性の存在が強く疑われ、報告するためにも裏付けを取りたいような場合というのは存在すると思います。そういうときは高木浩光氏のブログが参考になるのですが、あくまで合法な手段だけで証明できないか、つまり自分のアカウントや自分のマシンに対してのみ攻撃を仕掛けるような手法でのみチャレンジしてください。
それにはもちろん、何が合法で何が違法か判断が付くだけの法律の知識も必要になってきます。
投稿2015/12/09 14:00
総合スコア5568
0
Web の管理者と貴方の立場によるのではないでしょうか?
単純な操作ミスによるケース等は、報告すれば感謝される場合もあるでしょう。
ただ、脆弱性発見の目的でも、その行動がオーソライズされた立場での行動でなければ、インジェクションなどはその目的を問われて窮地に立つ場合もあるでしょう。
余談になりますが、単なる興味本位でアメリカのサーバーにいたずらしてサーバーをクラッシュさせてしまい、訴訟を起こされた例を知っています。その人は訴訟を回避するために、アメリカまで行って悪意がない?ことを釈明する羽目になりました。(笑)
投稿2015/12/09 12:17
編集2015/12/09 12:21総合スコア915
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/12/10 07:20
2015/12/11 10:46
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/12/10 03:07
2015/12/11 10:49 編集
2015/12/11 23:15