質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

質問する

ただいまの
回答率

91.08%

  • PHP

    16370questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • XSS

    25questions

    XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

XSS脆弱性を見つけてしまったので報告したい

解決済

回答 3

投稿 編集

  • 評価 -1
  • クリップ 4
  • VIEW 823
tanak

tanak

score 1

 前提・実現したいこと

結論からすると手間を掛けずに簡単に、匿名で報告したいです。

私とは全く関係ないとある企業のWebサイトの検索ページにXSS脆弱性を偶然にも見つけてしまったのでサイト管理者に報告したいです。

自分がWebサイトを作成する側という事もあり検索ボックスを見るとついついXSSやSQL Injectionがないかなんとなく心配になって調べてしまう事が何度かあるのですが(Webサイトの作りや雰囲気からなんとなく危なそうと感じることがある)、今回検索ボックスに「"><script>alert(1);</script>」と入れて検索すると偶然にも成功してしまいました。また、「'」を入力して検索するとHTTP 500になるのでSQL Injectionあたりも何かありそうな気がしましたがそれ以上は手を出していません。

ただ、以下の点が気になっていて報告に至っていません。

  • 詳しく調査した訳ではない。詳しく調査すると訴えられそう。かといって報告するには情報不足になりそうという微妙な所。

  • 個人がサイト運営者に直接報告すると逆に色々因縁をつけられて訴えられる場合がある(らしい)。

  • IPAのフォームから届け出を出すのが一般的(らしい)が必要項目が多いため面倒。
    (たまたま見つけてしまっただけなのでそれに対して時間を掛けたくないし、御礼の言葉や対価を得ようとも思っていない。ただ単に報告したい。ちゃんと治ったかどうかは気になりますが。)
    https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html

  • サービス開始したばかりという点もありサイト管理者としては脆弱性どうこうの対応する時間がとれそうにない、対策しないという方針になれば検索ボックスそのものがなくなってしまい、通常ユーザーが被害をうけてしまいそう

  • 今後もおそらく検索ボックスを見るとなんとなく脆弱性がありそうと感じることがあると思うし、その都度IPAのフォームから申請するのはしんどいので簡単に行いたいです。脆弱性を見つけてご飯を食べてる訳でもそれについて物申すことも特にしないので。。。

何かいい方法はありませんでしょうか。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

more_vert2 件の質問への追記・修正依頼

質問への追記・修正、ベストアンサー選択の依頼

  • asahina1979

    asahina1979

    2018/02/26 21:33

    通報しないでそういうことをして遊ぶのは悪意以外の何でもないよ

    キャンセル

  • asahina1979

    asahina1979

    2018/02/26 21:35

    むしろここにどこどこに不具合があるということを他所(ここ)で出してる事自体訴えられる元

    キャンセル

回答 3

+8

『これ以上の回答並びに書き込みは不要です』とのことですが、質問者さん以外の方もご覧になるでしょうから、少々私見を述べたいと思います。

IPAが脆弱性届出制度を運用したり、一部企業が脆弱性報告の報奨金制度を運用していることからも分かるように、インターネット上のウェブサイト上で第三者が脆弱性を発見し、それを連絡することにより、インターネットの安全性が向上しているという事実があります。質問者さんの動機も、完全に善意によるものと推測いたします。

しかしながら、公開サイト上で脆弱性を探す行為は、法律違反になる可能性を常に含んでいることと、法律違反でないまでも、意図せずペナルティを受ける危険性があります。IPAが脆弱性届出制度を運用しているのは、そのような危険性から少しでも脆弱性届出者を守るため、という一面もあるかと思います。

脆弱性発見者がペナルティを受けてしまった例を2つあげます。一つは、ACCS不正アクセス事件で、これは脆弱性発見者が逮捕され、有罪判決を受けてしまった例です。

元研究員に有罪判決 ACCS不正アクセス事件 - ITmedia NEWS

もう一つは、高名なバグハンターである kinugawamasato 氏が、脆弱性を探索中にサイト運営会社からインターネットプロバイダに通報され、ネットを止められてしまった事例です。

バグハンターの哀しみ - slideshare

たぶんXSSが理由でインターネットがとまった

私も何度か脆弱性報告をしたことがありますが、確かに面倒なものですよね。しかし、現状では(サイト側が脆弱性報告窓口をもうけていない限り)避けがたいものです。また、前述のようなリスクもつきまとうものです。
なので、上記のようなリスクを追いたくない、面倒も避けたいという方は、脆弱性報告窓口がないウェブサイトでは、そもそも脆弱性を探さないほうが無難でしょう。また、脆弱性報告窓口があっても、不正アクセスまで許容しているわけではないでしょうから、ディレクトリトラバーサル等、不正アクセスになりやすい脆弱性を探すことは避けるべきかと思います。

この現状を改善するには、サイト運営者側の理解が不可欠ですので、そのような未来が来るといいなとは思いますが、現状は厳しそうです。

投稿

ockeghem

ockeghem

EGセキュアソリューションズ株式会社代表

score 3317

  • EGセキュアソリューションズ株式会社代表

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

check解決した方法

0

asahina1979さんからは「遊ぶ」「悪意以外何でもない」、
te2jiさんからは「興味本位」「容疑者」「まずい」と言われて非常に残念で同時に強い恐怖を覚えました。

正直な所、恐怖を覚えるという言葉で私の現在の感情を表す時が来るとは思いませんでした。

質問文にも気になっている点として「色々因縁をつけられて訴えられる場合がある」を挙げましたが、やはり真実だったようです。

色々思う所がある為、様々な部分に注意、配慮しつつ私の善意としてできる部分を努力しようとしていましたが、
いざ見つけてしまってからは意外と大変だったという感覚があり今回投稿しましたがどうやら間違っていたようです。

この件はIPAを通して適切に対応し今後一切私は同様の行為を行いません。
また、これ以上の回答並びに書き込みは不要です。

投稿

tanak

tanak

score 1

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • asahina1979

    asahina1979

    2018/02/26 23:52

    そもそも XSSできる可能性 「"」「'」で表示が崩れた時点で
    試さずにそっと教えてあげるべきで

    気付いて勝手に試してあげるのは「不正指令電磁的記録に関する罪」にあたる場合があるんですが・・・

    キャンセル

  • te2ji

    te2ji

    2018/02/27 00:00

    ちゃんと謝意も伝えたほうが良いですよ。
    今の状況は、留守宅のドア開けちゃって、開けたところを写真までとられた状況と同じなので。
    ドア開けちゃって、ごめんなさい。ドアあいてましたよ。って伝えないと、因縁つけられても文句言えないです。

    キャンセル

0

ドメインの whois 情報の Contact Information/Admin/Tech あたりに、捨てメアドで報告とかですかねぇ。

投稿

te2ji

te2ji

score 8624

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • asahina1979

    asahina1979

    2018/02/26 21:42

    データセンター管理者の場合もあるけどなぁ・w・

    キャンセル

  • te2ji

    te2ji

    2018/02/26 21:46

    まぁ、それでも連絡だけは行く気がする。
    いずれにしても、「興味本位でためすなよ^^;」って話なんだけど。

    キャンセル

  • asahina1979

    asahina1979

    2018/02/26 22:09

    海外のDC利用していなければね・・・

    キャンセル

  • te2ji

    te2ji

    2018/02/26 22:27

    oh!想定外w
    ただ、今、対象のサーバで問題が発生すると、アクセスログからもれなく容疑者なんで、なんかアクションしとかないとまずいと思うんですよねぇ。。。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

ただいまの回答率

91.08%

質問する

関連した質問

  • 解決済

    Blender Game Engineでマテリアルを透過したい

    Blenderでゲーム開発をしようとしているものです。 Blender Renderで透過処理したマテリアルをBlender Gameに反映させたいと思っているのですが、透過でき

  • 解決済

    Choregrapheで部分的に動作確認するには?

    またもPepperです。わからないことだらけです。 Choregrapheでプログラムを組んでいくとどんどん冗長になっていくのですが、枝葉のほうにプログラムを追加した際に、そ

  • 解決済

    UIScrollViewのStoryboards上でのY座標がおかしい

    UIScrollViewの設定値が、どうしても最上部がマイナス値になってしまいます。 contentOffsetの値を、実行中に y:-56 とかにするとうまく表示されるので

  • 解決済

    ACCESS クエリでの一部重複?の除外方法について

    前提・実現したいこと こんにちは、質問タイトルが適格でないかもしれませんが宜しくお願いいたします。 通販事業をしており、商品の仕入から販売までのデータベースをACCESSの

  • 解決済

    PyCharmとGitLabの連携方法について

    PyCharm2017.1 を使っております https://plugins.jetbrains.com/plugin/7319-gitlab-integration 上記のG

  • 解決済

    struts2のjspで背景画像設定

    jspで背景画像を設定したいのですが、画像のパスや画像の置き場所がわかりません。 jspのあるファイルでimageフォルダを作り、その下に画像を入れ url("image/

  • 解決済

    vb2017でexcel2016操作

    vb2017を使っています。 communityです。 excel2016を開いてセルのデータを読み込みたいと思っています。 参考にしているサイトです。 http://d.

  • 解決済

    ASUS ZenPadで、Camera2APIで、1分動画を2時間分撮影したいです。

    Nexsus 5Xでは、1分動画を、2時間ぶん、撮影することができました。 しかし、ZenPadでは、エラーが出ます。 このようなエラーが繰り返して表示されます。 参

同じタグがついた質問を見る

  • PHP

    16370questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • XSS

    25questions

    XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

PHP求人の業界動向 >

SNSアカウントでログイン

  • Facebookでログイン
  • Twitterでログイン
  • Googleでログイン
  • Githubでログイン
  • Hatenaでログイン

teratailアカウントでログイン

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る