また、来ました。
我々の存在を脅威と捉えている人が多いのか?前回削除によって対応済みのハズのIPAから再度脆弱性が見たかったと連絡がありました。前回の修正分は削除という形でスパッと対応しましたが、今回の分は当ブログも連動しているのでそうもいきません。
見えない何かが動いているのでしょうか?
ともかく早急に対応致します。ご迷惑おかけいたしますが宜しくお願いします。しかし、やはりやってよい事悪い事はハッキリさせないといけませんね・・・
#########################################################################
- ——————————
このメールは、取扱い番号 IPA#66901608 に関する連絡です。今後
この件で IPA にご連絡いただく場合は、メールの件名に取扱い番号
を加えてください。
- ——————————
エバブラメディアサービス株式会社
代表者様
IPA セキュリティセンターの田中です。
IPA#95377573 につきまして、ご対応ありがとうございます。
この度、新規に下記ウェブページについて届出がありましたので、
の詳細と、今後の取扱いについてご連絡いたします。
対象のURL:
http://www.whitehackerz.jp/
以下の手順に従い、問題の詳細をご確認ください。
パスワードは IPA#66901608 と同じものを使用しています。内容を確認
いただけましたら、
お知らせくださいますようお願いいたします。
不明な点がありましたらご連絡ください。
<詳細情報の確認手順>
1. 添付ファイル「脆弱性関連情報_66901608」
してください。
2. ファイル名の末尾に「.exe」を追加してください。
3. アタッシュケースのマークの付いたアイコンのファイルに変わりま
ので、ダブルクリックしてください。
4. パスワードが聞かれますので、入力してください。
(パスワードは IPA#66901608 と同じものを使用しています。)
5. フォルダを開き、ファイルの内容をご確認ください。
(1) 脆弱性関連情報.txt
届出情報の詳細を記載したものです。
(2) 今後のセキュリティ上の問題に関する取扱いのお願い.pdf
脆弱性の存在の確認、修正をしていただく際に、ご協力いただき
たい作業の流れを記載したものです。
(3) 修正完了報告書(記入用).txt
修正が完了した際に、修正内容等をご報告頂く為のものです。
(4) 修正完了報告書の記入方法.txt
修正完了報告書を記入頂く際の記入方法を記載したものです。
添付ファイルの内容をご確認いただけましたら、
た旨を確認させていただくため、
す。
以上となりますが、よろしくお願いいたします。
------------------------------
脆弱性関連情報に関する連絡を行う際に、IPA では PGP 公開鍵
による暗号化を推奨しています。
------------------------------
独立行政法人 情報処理推進機構 (IPA)
技術本部 セキュリティセンター
そして開くと以下の内容が・・・
1.発見者からの報告(詳細情報)
発見者から次の報告が届いています。
==============================
1) セキュリティ上の問題を確認したウェブサイトのURL
http://www.whitehackerz.jp/
2) セキュリティ上の問題の種類
クロスサイトスクリプティング
3) 問題の説明
この団体に向けてメッセージを作成し、
ソースコードをみて ‘-’ や ‘”‘ といった文字列がそのまま送信さ
れてきたことを確認して。
当該文字列が input タグの value 内にそのまま格納されており、
たとえば、
‘ “><script>alert(1);</script><” ‘
というような文字列をフォームに設定した際に JavaScript が動作
してしまい、悪意あるコードも実行可能であると予測できるため。
==============================
2.IPAからの補足
このセキュリティ上の問題によって、
可能性がありますので、早期ご対応をお願い致します。
■被害について
——————————
・フィッシング詐欺
ウェブサイト上に偽の情報(偽のログインフォームなど)
フィッシング詐欺に悪用される可能性があります。
・情報漏えい
ユーザだけが閲覧できるウェブページの情報が他人に漏えいする可
能性があります。例えば、ユーザの個人情報を表示するページなど
が狙われます。
——————————
なお、
ませんので、
査をお願いいたします。
問題の理解、調査の際に下記資料を参考にしてください。
- IPA セキュリティセンター 「知っていますか?脆弱性 (ぜいじゃくせい)」
http://www.ipa.go.jp/security/
- IPA セキュリティセンター 「安全なウェブサイトの作り方」
http://www.ipa.go.jp/security/
- IPA セキュリティセンター 「セキュア・プログラミング講座」
http://www.ipa.go.jp/security/
3.今後の取扱いにつきまして
1) 一次返信
本メールが届き、内容をご確認いただいたことを確認させていただ
くため、本メールへのご返信をお願いします。
2) セキュリティ上の問題の有無の調査
セキュリティ上の問題の有無を調査してください。その結果を、本
メール受信後 20 営業日以内を目処にお知らせください。
3) セキュリティ上の問題の修正
セキュリティ上の問題が存在した場合は修正をお願いします。
修正は、3 ヶ月以内を目処に実施してください。
4) 修正完了報告書の送付
修正完了後、本メールに添付しました修正完了報告書に必要事項記
入の上、メールに添付する形で返送してください。
なお、報告書の返送方法につきましては、運営者様のセキュリティ
ポリシーに則り、お取扱いください。IPA では PGP 公開鍵による
暗号化、もしくはパスワードによるファイルの保護を推奨していま
すが、必須ではありません。
パスワード保護の例 )
・zip 形式で圧縮する際にパスワードをかける。
・Word の暗号化機能を利用する。
上記を含む今後の取扱いにつきましては、本メールに添付しました
「今後のセキュリティ上の問題に関する取扱いのお願い.pdf」
を載せております。ご参照ください。
以上、よろしくお願いいたします。