上記の記事を読んで、脆弱性と認められなくてもブログ書いていいんだ!と思ったので書きます。
近日公開予定のサイボウズの脆弱性を見つけた後に、面白いバグを見つけました。
ソート順と言語(と作成日の範囲)に好きな文字を埋め込みなおかつそれをSelectした状態にできるバグです。上の画像ではサイボウズの擁護(言語か?笑)でカツラは必須ですということになっています。
もちろん脆弱性ではありませんと言われてしまいましたw
なぜこんなことを書いたかって?最近脆弱性を見つけたという事実より、どれだけ面白く公開できるかが重要な問題だからだ!!笑
セキュリティ関係の方々の笑いのセンスが高すぎて敵いませんw
特に最近malaさんの報告の動機を読んだときは、知識もセンスもはるかに上だと思い知らされました。笑
さて、今日はもう一つカジュアルな報告があります。
先日あるサイトで脆弱性を見つけたのでIPAに報告しました。そのサイトにはStored XSS、アクセス不備、パスワードの管理不備、そしてSQLインジェクションがありました。
問題が起きたのはSQLインジェクションです。
という事でサイト側に報告できないと言う結果になってしまいました。しかし私が見つけたSQLインジェクションは、ログインで自身のメールアドレスとパスワードを「1'or'1'='1」と入力してログインすると管理者としてログインできるというようなものでした。
これを言うのはあれですが、実際そんなにログインしないサイトで、数字と文字と特別文字がパスワードに入っていないといけないサイトでは、上記のパスワードを使うことがあります(覚え易いので)。しかし現在日本の法律では、脆弱なサイトでSQLインジェクションにも使えるパスワードを使うと捕まる可能性があるみたいです。しかもそのせいで報告したかった脆弱性が報告できなくなってしまったのはとても残念です。
ということで、日本の法律がもう少し正しい行いを擁護する法律になってくれればなと思ったという投稿でした~(擁護繋がりw)。
0 件のコメント:
コメントを投稿