水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2008年のえび日記 > 2008年7月 > 2008年7月23日(水曜日)

2008年7月23日(水曜日)

ハッカーセーフのサイトの脆弱性が修正された

IPAの方から、以下のようなメールをいただきました。

IPA セキュリティセンターです。

HACKER SAFE の件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします。

HACKER SAFE(ハッカーセーフ)無料脆弱性診断(お試しスキャン) (www.hackersafe.jp)のページからリンクをたどると申し込みフォームが表示されるのですが、そのURL は以下のようなものになっています。

その筋の人(?)なら ".hxml" って何だろう? と思い、何となく拡張子を消してみたりするかもしれません。私がこのページを見ていたのはWASForum Conference 2008の2日前ですから7月2日のことなのですが、当時は以下のようなメッセージが表示されるようになっていました。

ERROR:

[sysXS3.system.m]

ID : ERR_FILE_NOT_FOUND

メッセージ: 要求されたファイルまたはパス: "/hxml/contact/check1" を見つけることができませんでした。

これが今は以下のようなメッセージに変更されています。

ERROR:

[sysXS3.system.m]

ID : ERR_FILE_NOT_FOUND

メッセージ: 要求されたファイルまたはパスを見つけることができませんでした。

というわけで、私が発見したクロスサイトスクリプティング脆弱性については修正されていることを確認しました。

当該フォームにもハッカーセーフのシール(?)が貼ってあったので、ハッカーセーフでチェックされていたのだと思うのですが、このような単純なXSSが見つからないものなのですね……。思うに、ハッカーセーフはリンクがつながっているページは検査できるけれども、URLを書き換えてアクセスするようなタイプのものは検出できないのかもしれません。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / ハッカーセーフ / 情報セキュリティ早期警戒パートナーシップ / WASForum Conference / シール

最近の日記

関わった本など