アカウント名:
パスワード:
概要ページには
サービスの運営に支障を与えたり、他のユーザが所有するデータにアクセスしない限りにおいて、脆弱性発見のための調査が可能です。
と書かれてますが、それこそ「リモートで任意のコードが実行可能」なんて、見つけちゃった時点でシステムに影響が出てる可能性も高く……。XSS等ならそこまで影響与えずに見れると思いますが、概要に書かれてるようなSQLインジェクションなどを発見した場合、それを実証する過程で被害が出る可能性を考えると「脆弱性を探す」行為そのものがリスクが高いように思えます。
かといってmixiからしてみても「脆弱性を探すためなら何してもいいです、システム止まっても責任は問いません」なんて言えないでしょうけど。
SQLインジェクションも各種コード実行も安全に検証することはできるけど、そういうテクニックを期待したいなら野良ハッカーじゃなくて専門の診断業者に出すべきだね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
ちょっと怖い (スコア:2)
概要ページには
と書かれてますが、それこそ「リモートで任意のコードが実行可能」なんて、見つけちゃった時点でシステムに影響が出てる可能性も高く……。
XSS等ならそこまで影響与えずに見れると思いますが、概要に書かれてるようなSQLインジェクションなどを発見した場合、それを実証する過程で被害が出る可能性を考えると「脆弱性を探す」行為そのものがリスクが高いように思えます。
かといってmixiからしてみても「脆弱性を探すためなら何してもいいです、システム止まっても責任は問いません」なんて言えないでしょうけど。
Re: (スコア:0)
SQLインジェクションも各種コード実行も安全に検証することはできるけど、そういうテクニックを期待したいなら野良ハッカーじゃなくて専門の診断業者に出すべきだね。