水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 脆弱性を見つけるのは法的に黒っぽい?

脆弱性を見つけるのは法的に黒っぽい?

2009年2月10日(火曜日)

脆弱性を見つけるのは法的に黒っぽい?

公開: 2018年9月24日18時30分頃

セキュリティ&プログラミングキャンプキャラバン2008 レポート (blog.s21g.com)」。

脆弱性を見つけるのは法的に黒っぽいですが、みなさん、どうしてるんですか?

ふぇー。黒っぽいですか。情報セキュリティ早期警戒パートナーシップガイドラインの付録には「不正アクセス禁止法に抵触しないと推察される行為の例」というのが出ていたりしますが、園田さんの「早期警戒パートナーシップ」という発言はその話ですかね。ちなみにこんな感じです。

1) ウェブアプリケーションの利用権者が、正規の手順でログインするなどして通常のアクセスをした際に、ブラウザとサーバとの通信の内容を観察したところ、それだけで脆弱性の存在を推定できた場合。

2) ウェブページのデータ入力欄にHTML のタグを含む文字列を入力したところ、入力した文字列がそのまま表示された。この段階ではアクセス制御

機能の制限を回避するに至らなかったが、悪意ある者に別の文字列を入力されれば、このサイトにセキュリティ上の問題が引き起こされかねないと予想できた場合。

3) アクセス制御による制限を免れる目的ではなく、通常の自由なページ閲覧を目的として、日付やページ番号等を表すと推察されるURL 中の数字列を、別の数字に差し替えてアクセスしてみたところ、社会通念上、本来は利用できてはならないはずと推定される結果が、偶発的に起きてしまった場合。(ただし、積極的に多数の数字列を変えて試す行為等は、制限を免れる目的とみなされる可能性があります。

以上、情報セキュリティ早期警戒パートナーシップガイドライン より

まあ、抵触しないと推察されるというだけなので、グレーですけれども。ここに書かれているのはあくまで一例で、基本的には、

という2点に注意すれば良いのかなと思っています。後者はけっこう難しいですが。

脆弱性みつかったお! → 仕様です

すぐ仕様と言ってくるならまだ良いのですが、「脆弱性みつかったお→修正しました→なおってないお→修正しました→なおってないお→仕様です」とか対応されると、修正を諦めて仕様と言い張ることにしたとしか見えなかったりしますよね……。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト