一律に「脆弱性ではない」とは評価できないテキストインジェクション 41
ストーリー by hylom
人を狙う危険性 部門より
人を狙う危険性 部門より
URLなどを操作することで、Webページ内に任意の文字列を挿入して表示させられる不具合は「テキストインジェクション」と呼ばれている。このテキストインジェクションは危険な脆弱性としては認識されないことが多く、脆弱性報奨金制度で認定されづらいという(これを指摘する記事)。
多くの場合、テキストインジェクションではコンピュータに不正な処理を実行させることはできない。そのため、脆弱性としては認められないケースが多いようだ。しかし、たとえば「○○に移転しました」のようなメッセージを表示させてユーザーに不正なサイトへのアクセスを誘導したり、脅迫メッセージを表示するといった悪用が可能だ。そのため、テキストインジェクションだからといって脆弱性ではないと決めつけるのではなく、十分な評価が必要だと指摘されている。