アカウント名:
パスワード:
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
通報後に・穴がふさがっているか?・ほかの穴もないか?確認してるだけでしょ
通報したのに対応してなかったら最悪の企業だから
止めろと言われたのにやってたとしたら「確認」ではないよな頭おかしいとしか言いようがない
止めろと言っていない可能性。「対策が終わるまで待て」は脆弱性の公表や催促を待てという意図は伝わるが、確認やその他一切のアクセスを中断しろとは取りづらい。「現在対策作業中です、しばらくお待ちください。また、それに先立ちアラートルールに追加するのでXSS試行を中断して下さい」なら伝わる。対策開始との返答を持って確認をやめても良いほど一般企業のセキュリティ意識はセキュリティ屋に信用されていない。
そもそも脆弱性の規模によっては修正完了までサービス止めても良いくらいだし、アラートルール追加する位ならその場でドロップするルールを書かないとダメ。穴を塞がず穴に罠だけ仕掛けて通報するのはノーガード戦法と大差無いね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
確認してみた (スコア:1, 参考になる)
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
Re: (スコア:0)
通報後に
・穴がふさがっているか?
・ほかの穴もないか?
確認してるだけでしょ
通報したのに対応してなかったら最悪の企業だから
Re: (スコア:0)
止めろと言われたのにやってたとしたら「確認」ではないよな
頭おかしいとしか言いようがない
Re:確認してみた (スコア:0)
止めろと言っていない可能性。
「対策が終わるまで待て」は脆弱性の公表や催促を待てという意図は伝わるが、
確認やその他一切のアクセスを中断しろとは取りづらい。
「現在対策作業中です、しばらくお待ちください。また、それに先立ちアラートルールに追加するのでXSS試行を中断して下さい」
なら伝わる。
対策開始との返答を持って確認をやめても良いほど一般企業のセキュリティ意識はセキュリティ屋に信用されていない。
そもそも脆弱性の規模によっては修正完了までサービス止めても良いくらいだし、アラートルール追加する位ならその場でドロップするルールを書かないとダメ。
穴を塞がず穴に罠だけ仕掛けて通報するのはノーガード戦法と大差無いね。