なんとなーく、脆弱性を見つける→IPAへ報告というのが一般的なのかと、何を見たわけでもなく思ってる自分がいて、報告をしたりもした。 報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。 でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい(やめてください)」といった旨の返事がくる。 私も割と大きめなWEBサービスの開発運営に関わっているのでこれは間違い無いと思うけれど、普通に使ってて、たまたま脆弱性が見つかるなんて結構稀なパターンじゃないかと思う。(もちろん無いわけではない) 通常、普通に使っててたまたま見つかるような部分はテストされてるからね。 となると、脆弱性は普通ではやらないような部分とかに残ってる。 自分が利用してるor利用しようと思ったWEBサービスに、致命的な脆弱性があると嫌なの
タグ
- すべて
- ++ (1)
- .net (47)
- 1 (1)
- 2009 (1)
- 2ch (1)
- 3d (5)
- 64 (4)
- JScript (4)
- MOSe (1)
- R (1)
- SABE (1)
- TMTOWTDI (1)
- TODO (1)
- WAI-ARIA (4)
- WebDatabase (1)
- _opera (1)
- _unite (1)
- _user.js (1)
- aa (1)
- access (12)
- accessibility (1)
- actionscript (37)
- activerecord (1)
- activex (1)
- addon (9)
- adobe (1)
- aes (1)
- aio (1)
- ajax (22)
- algorithm (24)
- amachang (2)
- amazon (9)
- analysis (1)
- android (1)
- animation (8)
- anonymous (2)
- anything (1)
- aop (3)
- apache (5)
- api (13)
- apml (1)
- apng (1)
- apollo (9)
- appengine (1)
- apple (4)
- arc (2)
- arp (2)
- as (2)
- as3 (10)
- ashizuka (2)
- atom (2)
- atomic (1)
- atompub (1)
- attribute (1)
- audio (2)
- auth (2)
- authentication (2)
- autopagerize (1)
- backup (1)
- bamboo (1)
- baseball (1)
- bash (3)
- benchmark (5)
- bezier (1)
- binary (4)
- bios (1)
- bk (1)
- blog (8)
- book (42)
- bookmark (1)
- bookmarklet (11)
- brainfuck (1)
- browse (3)
- browser (12)
- bug (1)
- business (7)
- c (31)
- c# (81)
- c++ (17)
- c10k (1)
- cache (1)
- calc (1)
- canvas (24)
- capsule (1)
- captcha (4)
- career (1)
- carol (1)
- cas (1)
- cc (1)
- ccl (1)
- cdi (1)
- cell (1)
- cgi (1)
- charset (7)
- chart (3)
- chrome (9)
- clcl (1)
- clipboard (3)
- closure (3)
- coderepos (2)
- codereview (4)
- color (3)
- comet (3)
- comic (1)
- comment (29)
- commons (2)
- communication (25)
- community (3)
- compress (1)
- computer (2)
- concurrent (2)
- cookie (5)
- copyright (5)
- cpan (3)
- cron (1)
- crossbrowser (5)
- crossdomain (5)
- crypt (2)
- csrf (6)
- css (123)
- csv (3)
- currying (2)
- customize (1)
- cvs (2)
- daemon (1)
- dapper (1)
- dashboard (3)
- data (1)
- data structure (1)
- datascheme (1)
- db (9)
- debug (15)
- del.icio.us (3)
- demo (1)
- design (14)
- designpattern (6)
- development (56)
- devops (1)
- dhcp (1)
- di (1)
- dictionary (2)
- diff (6)
- discussion (3)
- dmc (1)
- dns (1)
- doctype (2)
- document (4)
- dojo (1)
- dom (40)
- domstorage (1)
- dos (3)
- download (1)
- dragonfly (3)
- dropbox (1)
- ds (1)
- dtd (1)
- dvd (1)
- e4x (4)
- ec2 (1)
- eclipse (22)
- ecma (1)
- ecmascript (7)
- ed (1)
- editor (5)
- education (5)
- emacs (3)
- email (1)
- emeditor (1)
- emobile (2)
- encode (3)
- encoding (2)
- english (16)
- eolas (1)
- erlang (2)
- event (8)
- evernote (1)
- excel (6)
- exe (1)
- ext.js (1)
- extension (2)
- fastladder (2)
- feed (3)
- ffmpeg (13)
- file (1)
- filesystem (1)
- fink (1)
- firebug (7)
- firefox (64)
- fizzbuzz (3)
- flash (58)
- flex (18)
- flv (8)
- font (10)
- food (1)
- form (1)
- fotolife (2)
- framework (3)
- freebsd (2)
- friio (1)
- fud (1)
- fun (8)
- fuse (1)
- gadget (2)
- gadgets (2)
- gae (1)
- game (14)
- gc (1)
- gcc (2)
- gears (2)
- generation (1)
- generics (1)
- gimp (1)
- gist (3)
- git (22)
- github (2)
- gmail (5)
- golf (9)
- goods (7)
- google (48)
- google app engine (4)
- googlemaps (1)
- googlewave (1)
- gperf (1)
- graph (1)
- graphic (3)
- grddl (2)
- greasemonkey (36)
- gui (3)
- gyao (4)
- h264 (1)
- hack (2)
- hacker (1)
- hadoop (1)
- hardware (4)
- hash (2)
- haskell (2)
- hatebu (3)
- hatena (19)
- hatenaq (1)
- hatenastar (7)
- hdd (4)
- hibernate (1)
- history (1)
- hta (2)
- html (31)
- html5 (4)
- http (10)
- httpd (1)
- hyde (1)
- icon (8)
- idea (29)
- idn (3)
- ie (70)
- ie7 (4)
- iframe (1)
- iknow (1)
- image (41)
- imageio (1)
- imagemagick (4)
- imager (1)
- ime (7)
- inherit (1)
- ini (1)
- inspector (1)
- intro (1)
- io (2)
- ipa (2)
- iphone (9)
- ipod (8)
- ip電話 (1)
- irc (2)
- it (1)
- itext (13)
- itunes (9)
- jakarta (2)
- jar (1)
- java (142)
- javafx (3)
- javascript (689)
- javassist (4)
- jdbc (1)
- jdk7 (1)
- jenkins (1)
- jetpack (4)
- jmock (1)
- jndi (1)
- jnlp (1)
- jquery (17)
- jruby (2)
- jsan (1)
- jsdeferred (2)
- json (14)
- jsonp (3)
- jsp (1)
- junit (2)
- jws (2)
- keyboard (2)
- lame (3)
- lang (2)
- law (4)
- ldr (3)
- leopard (4)
- library (30)
- license (9)
- life (4)
- lifehack (10)
- lighttpd (3)
- linq (11)
- linux (9)
- lisp (3)
- literacy (2)
- log4j (5)
- m2 (2)
- mac (68)
- macmini (3)
- macports (3)
- mail (8)
- mailslot (2)
- mala (3)
- map (3)
- mapreduce (2)
- marketing (9)
- markup (2)
- material (6)
- math (8)
- mayaa (2)
- md5 (5)
- memcached (3)
- memo (2)
- mercurial (7)
- messagepack (2)
- microformats (6)
- migemo (2)
- mime (2)
- mixi (2)
- mobile (7)
- moose (2)
- motivation (2)
- mp3 (3)
- music (6)
- mysql (10)
- neta (34)
- network (6)
- niconico (52)
- nio (3)
- novel (2)
- oauth (3)
- ocsp (2)
- office (2)
- omo (3)
- oop (17)
- openid (5)
- opera (333)
- operashow (2)
- operaunite (7)
- oracle (43)
- os (2)
- osgi (2)
- oss (3)
- pc (7)
- pdf (4)
- performance (26)
- perl (91)
- php (8)
- phrase (2)
- pipes (10)
- plagger (37)
- plugin (5)
- png (2)
- podcast (2)
- poe (2)
- powershell (3)
- presentation (6)
- privacy (3)
- programmer (7)
- programming (174)
- promotion (17)
- prototype.js (7)
- ps2 (2)
- pthread (2)
- punycode (5)
- python (20)
- rails (7)
- range (7)
- regex (35)
- rest (7)
- rhino (3)
- rss (8)
- rtm (2)
- ruby (32)
- rubyyyyyyyyyyyyyyyyy (2)
- safari (7)
- sbm (4)
- scalability (5)
- search (2)
- seasar (3)
- security (82)
- selection (2)
- semanticweb (2)
- server (6)
- shell (6)
- silverlight (5)
- simd (2)
- skype (7)
- sleipnir (7)
- smalltalk (2)
- society (2)
- softbank (2)
- software (65)
- soumen (2)
- sound (5)
- spam (5)
- sql (23)
- sqlserver (3)
- ssh (2)
- ssl (2)
- subversion (5)
- svg (22)
- svn (19)
- swf (5)
- sybase (2)
- sync (2)
- syntax (14)
- tale (2)
- tdd (4)
- test (15)
- text (18)
- textmate (2)
- thread (6)
- tips (6)
- titlespam (2)
- tool (4)
- trac (2)
- tumblr (3)
- tuning (2)
- tv (2)
- twitter (27)
- ui (63)
- unicode (14)
- unite (9)
- unix (22)
- usability (9)
- usb (4)
- user.js (41)
- userchrome.js (10)
- ustream (3)
- vb (2)
- vc (2)
- vc++ (2)
- vi (4)
- video (5)
- vim (12)
- vimperator (7)
- virtualpc (4)
- vista (4)
- visualization (2)
- vnc (2)
- vs (5)
- w3c (2)
- web (81)
- webdesign (22)
- webkit (2)
- webscraper (4)
- webservice (73)
- websocket (2)
- widget (17)
- wii (5)
- wiki (3)
- win32 (2)
- window (3)
- windows (47)
- windows7 (2)
- winny (6)
- wishlist (5)
- work (20)
- wsh (13)
- x11 (2)
- xhtml (6)
- xml (40)
- xpath (35)
- xslt (11)
- xss (6)
- yahoo (4)
- youtube (4)
- yui (3)
- zip (4)
- zsh (3)
- ☆ (3)
- あとで (4)
- あとで読む (2)
- いじめ (2)
- これはひどい (2)
- はてブ (2)
- サニタイズ言うな (3)
- シニア (2)
- セルクマ (5)
- ネタ (49)
- 同意 (7)
- 子育て (2)
- 宮本茂 (2)
- 教育 (6)
- 日本語 (3)
- 無断リンク (5)
- 略語 (2)
- 非モテ (2)
- 高木浩光 (2)
- javascript (689)
- opera (333)
- programming (174)
- java (142)
- css (123)
- perl (91)
- security (82)
- c# (81)
- web (81)
- webservice (73)
ipaに関するmiya2000のブックマーク (2)
-
miya2000 2007/02/16
あるサービスの脆弱性チェックをする時はそのサービス提供者に許可を得るべきだと思います。偶然は別。/民間が請け負うべきなんだろう。「当社のサービスははまちちゃんチェックを通過しています」とか。- ipa
- 脆弱性
リンク -
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか
■ クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか 4月27日の日記「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法」で、 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古くから存在したこの問題がなぜ今まであまり注目されてこなかったかについて考えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 と書いた。あれから2か月以上が経ってしまったが、今書いておく。 端的に言えば、「CSRF対策は所詮、荒らし対策にすぎない」 と考えられてきたためではないか。 荒らし対策をするしないは運営者の自由 あるサイトに脆弱性を発見した者が、その運営者に対してその脆弱性を直して 欲しいと希望することが、どのくらい妥当かというのは、その脆弱性によって 生じ得る危険性の種類によって異なる。 たとえば、IPA の脆弱性届出状
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
処理を実行中です
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
設定を変更しましたx