IPA 届出状況 Q4

※どうでも良いですが、なんでこの PDF はテキストのコピーを禁止しているのでしょうか。

ウェブアプリケーションの脆弱性関連情報は、届出件数 67 件だそうです。

Q3 と大して変わっていないように見えるかもしれませんが、私の届出件数が

なので、私の届出を除くと 61→34の大幅減。

また、新しい攻撃手法として知られている「HTTP レスポンス分割 (HTTP Response Splitting)」に関する届出が数件ありました。

「数件」っていやに曖昧ですが、具体的な件数が書けない理由でもあるのでしょうか。後半の統計を見ると 140件中の 4% ですので、5～6件といったところだと思いますが、私の届出は 5件。:-)

※しかし「HTTP レスポンス・スプリッティング」は新しいと言えば新しいですが、HTTP応答ヘッダに CR+LF がインジェクションできることの危険性は昔から知られていたように思います。少なくとも、私がココログ大アンケートの脆弱性に気づいたときは「HTTP レスポンス・スプリッティング」という言葉を知りませんでしたし。