ウェブアプリケーション脆弱性関連情報の届出をした
概要
あるウェブアプリケーションにXSS脆弱性を発見したので,情報セキュリティ早期警戒パートナーシップガイドラインに則りウェブアプリケーション脆弱性関連情報として情報処理推進機構 (IPA) に届け出たところ,届出が受理された.
将来の脆弱性関連情報の届け出に際して本記事が少しでも参考になると期待して,届出の内容と受理までの経過を以下にまとめる.
なお,当該脆弱性の悪用を防ぐため,届出の内容の一部を改変して掲載する.
届出の内容
以下の内容を 2019/03/09 に届け出た.
届出の内容は主に脆弱性の発見の経緯とそれにより想定される被害の2点に要約される.今回発見した脆弱性は典型的なXSS脆弱性であったため,想定される被害としてXSS脆弱性一般に通用する内容を記入して届け出た.
- 脆弱性を確認したウェブサイトのURL
- https://**********/**********
- 脆弱性の確認日
- 2019/03/09
- 脆弱性の種類
- クロスサイトスクリプティング
- CWEとの関連付け
- CWE-79 (クロスサイトスクリプティング) 脆弱性の発見に至った経緯
- 入力欄Aに誤って<br>タグの含まれた文字列を貼り付けて送信したところ,<br>タグが反映され改行されて表示されたので,古典的なXSS脆弱性の存在を疑った.検証のため,文字列「********************」を入力したところ,アラートメッセージが表示され,実際にXSS脆弱性が存在すると判断した.
- 脆弱性であると判断した理由
- 機密性の影響
- 当該ページを閲覧したユーザのブラウザに保存されているセッションIDなどの情報を窃取される.
- 完全性の影響
- 攻撃者の作成したスクリプトにより,ページの表示が改ざんされる.
- 可用性の影響
- なし