一律に「脆弱性ではない」とは評価できないテキストインジェクション 41
ストーリー by hylom
人を狙う危険性 部門より
人を狙う危険性 部門より
URLなどを操作することで、Webページ内に任意の文字列を挿入して表示させられる不具合は「テキストインジェクション」と呼ばれている。このテキストインジェクションは危険な脆弱性としては認識されないことが多く、脆弱性報奨金制度で認定されづらいという(これを指摘する記事)。
多くの場合、テキストインジェクションではコンピュータに不正な処理を実行させることはできない。そのため、脆弱性としては認められないケースが多いようだ。しかし、たとえば「○○に移転しました」のようなメッセージを表示させてユーザーに不正なサイトへのアクセスを誘導したり、脅迫メッセージを表示するといった悪用が可能だ。そのため、テキストインジェクションだからといって脆弱性ではないと決めつけるのではなく、十分な評価が必要だと指摘されている。
不具合報告 (スコア:2, 興味深い)
昔の話ですが、国内のものって、報告するところを設けてあるサイトでも、報告してもろくなことにならない。
・メール関係のサービスで、s-jisのまま送られてきていると指摘したら仕様はjisですRFC見ろと怒りの返答をもらえた。(自分が間違っているということは考えないのだろう、メールの仕様の話になってた)ほかの人がjis対応でない海外ソフトでも漢字が表示されるからs-jisの可能性が高いと他の人の投稿も無視。
・オンラインゲームの不具合報告で、不具合報告の掲示板に書いたら、そこに書くなメールでよこせとメールを頂く。再現させたからといって得する不具合でもサーバーがダウンする不具合ではない。(不具合掲示板にいっぱい書き込みあると不具合が多いと思われることを懸念したのかもしれない)
・検索結果で行きついたページからトップページへと思ってURL削ったらフォルダが丸見えの設定だったので報告したら、不正アクセスするつもりか!
他にもあったけど忘れた。いずれにしてもケチをつける気かって感じだった。
特にオンラインゲームの不具合報告して、よかったことは一度もない。
最近は、大丈夫なのだろうか?
Re: (スコア:0)
xssを報告したらプロバイダにBANされた [security.srad.jp]
Re: (スコア:0)
変わってないよ。
GoogleとかMSはトンデモルート経由でも取次いでくれるのとは対極ですなぁ。
根本的にちがうんだなと。
Re: (スコア:0)
>昔の話ですが、国内のものって、報告するところを設けてあるサイトでも、報告してもろくなことにならない。
某大手WEBメールサービスで他のアカウントのメールが読めるようになってたので、自分のメールも読まれてるはずだからなんとかしてくれとサポートに陳情したけどシカトされた。
結局怖くなって退会したけど、案の定何時まで経ってもメルマガとか広告が飛んでくる。
退会したので個人情報と連絡先メールアドレスを抹消してくれと連絡したけどそれもシカト。
関わると負けなサービス
二重否定 (スコア:1)
タイトルが「・・・ではないとは・・・できない」と二重否定になっていて分かりづらい気がする。
このテキストインジェクションは危険な脆弱性としては認識されないことが多く、脆弱性報奨金制度で認定されづらいという
・テキストインジェクションは脆弱性としては認識されない事が多い。
・脆弱性報奨金制度では脆弱性として認定されづらい。
ってことは簡単に書くと
脆弱性報奨金制度ではテキストインジェクションの「脆弱性」は認定されにくい
でいいのかな。
と思ったらリンク先には元々
脆弱性報奨金制度で認定されづらいテキストインジェクション
って簡単に書いてあった。
#学生の頃「二重否定」は分かりづらくなるからなるべく使うなと先生に言われてた。
Re:二重否定 (スコア:1)
言いたいのは、
テキストインジェクションも安全ではないから注意しろ
であって、
脆弱性報奨金制度で認定されやすいかどうか
は、主題とは違うんじゃないだろうか?
『脆弱性ではない』(と評価されがちである現状)を否定したいのだから、
このタイトルは正しいと自分は思う。(わかりやすいとは言えないが……)
テーマを反映させてわかりやすく書くなら、
「テキストインジェクションにも危険性はある」
とかだろうか?
Re: (スコア:0)
無駄な情報が多くてわかりづらい気がする
二重否定のタイトルはわかりづらい
リンク先も「脆弱性報奨金制度で認定されづらいテキストインジェクション」と分かりやすく書いてある
だけでいいな。
最初に主旨を明確に提示するってことで、文頭に「噛みつきたい、揚げ足取りたい」と追加するのもいいかもしれない
そら、そうやろ (スコア:0)
やり過ぎて「クリック」を「**ック」に変換して失笑買うだけやで
Re: (スコア:0)
???
解説もとむ
Re:そら、そうやろ (スコア:1)
自由なテキスト入力を過度に警戒し卑語をフィルタするようにすると特に問題ない言葉にまで引っ掛かってしまうという事例でしょう。
クリはクリトリスの事です。
掲示板運用などではあるあるの事例でしょうか。
単純置換はこういうミスが起きたり著作人格権等の問題がありますが、NGワードに引っかかると書き込みすらできないようなタイプよりかはユーザビリティとしては優れています。
どれがNGワードなんだろうといろいろ試さなければならずイライラしますから。
その性質上、NGワード自体を表示・適示する事は忌避されがちなのでUIとしてはいくらか難しい問題ですね。
Re:そら、そうやろ (スコア:1)
ああ、やまもといちろう氏がゲームでユーザー名登録したら「ちろう」が引っかかってNGになった笑い話とかありましたね。
https://lineblog.me/yamamotoichiro/archives/2998899.html [lineblog.me]
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
MMOのチャットで食玩の話をしてたら、
ビックリ****コって発言になって驚いたことがある
Re: (スコア:0)
**とリスが見たかったので、友達と森に行きました。
~ ○○小学校 2年生 ○○君の日記より ~
こういう事?
Re: (スコア:0)
それなら概ね意図したとおり機能してるでしょう。
Re: (スコア:0)
アスタリスクとクリックを掛けた駄洒落なのかな?
うーん、わからん
Re: (スコア:0)
伏せた言葉自体はfワードなんだろうけど
誰が何をどうして誰からとかその辺がさっぱり読み取れんな
Re: (スコア:0)
脳内になんか沸いてそう「やで」
Re: (スコア:0)
クリトリスを伏せ字にしたってことだろ
Re: (スコア:0)
クリトリスクリトリスックってこと??
うーん、わからん...
Re: (スコア:0)
クリをクリトリスとして伏字に置換するルーチンを入れていたところ、
クリックの頭二文字が該当してしまい**ックになってしまったということ。
Re: (スコア:0)
ミミック?
Re:そら、そうやろ (スコア:2)
Re:そら、そうやろ (スコア:1)
マリックかもしれん
と思わせるトリック
Re:そら、そうやろ (スコア:1)
ゴシックかな
Re: (スコア:0)
パルック
って蛍光灯、昔つかってたな
Re:そら、そうやろ (スコア:1)
-- To be sincere...
Re: (スコア:0)
Win10のフィードバックHubの挙動ですね。
やってみようと思ったけど (スコア:0)
ハイパーリンクに仕込めなかった。
javascript:document.body.innerHTML=document.body.innerHTML.replace(/スコア:/g,'友達の数→');
Re: (スコア:0)
これでどうやろ?
Re: やってみようと思ったけど (スコア:1)
普通のリンクと思わせてJavascript実行させられるとか、脆弱性認定していいんじゃない?
Cookieにhttponly属性ついてないし、セッションも抜けちゃうね。
パスワードも抜けるから、使いまわししている人は即変更を (スコア:1)
これ任意のJavaScriptが実行可能なので、ブラウザにパスワードを保存していたら不可視のフォームに自動入力させて抜くこともできる。
そのままだとダブルクォーテーションなどは制限されるけど、いくらでも抜け道あるし。
ユーザ投稿の任意のユーザ入力のスキーム名(javascript:など)を許可しているとかこういう低レベルな脆弱性って
2000~2005年ぐらいのインターネッツかよって感じ
流石インターネット老人ホームなサイトだけのことはあるなぁ
もしスラドのパスワードを他の重要なサイトで使っていたら即変更しようね
勿論、スラドじゃなくて他の重要なサイトの方を……ね!
# スラドのパスワードは5chのトリップレベルのものだからどうでもいい
Re: (スコア:0)
なんか表示が崩れる。
でもalert [security.srad.jp]
Re: (スコア:0)
試しているうちに途中送信してしまいました。
どうやったんだろ。
Re: (スコア:0)
崩れるのは値を返しているからでは?
スラドにテキストインジェクション脆弱性を見つけた (スコア:0)
「コメントを書く」ボタンを押して、表示されるテキストボックスに適当な文章と危険なサイトのURLを入力、「プレビュー」→「これで投稿!」で、
ユーザーを不正なサイトへ誘導することが可能です。文章を変更すれば、脅迫メッセージを表示するといった悪用もできます。
hylomは私に報奨金を支払うべきだ。
って話?これを脆弱性だって主張するのはちょっと違う気がする。
# 投稿だと思わない場所に入力出来てしまうことが問題だ、って言い分は理解できるけど…。
Re:スラドにテキストインジェクション脆弱性を見つけた (スコア:1)
> hylomは私に報奨金を支払うべきだ。
hylomさんが常日頃実証している既知の脆弱性なので、報奨金は出せません。
Re: (スコア:0)
指摘記事を見て、挙げられてる例レベルでも脆弱性じゃないって言われるのは流石におかしいと思う
何でこういう言い方するんだろう (スコア:0)
(オフトピックですが)
>「テキストインジェクションだからといって脆弱性ではないと決めつけるのではなく、
>十分な評価が必要だ」と指摘されている。
ここまで指摘しておいて「十分な評価が必要だ」と言うんじゃなくて、「脆弱性と考え対策すべき」とか言えないのかな?
最近、マスコミもそうだし会社でもそうですが、あーだこーだ指摘だけ散々しておいて、
最後は「する・しない、すべき・すべきではないはあなたが判断してください」って言うやつ、勘弁してほしい。
(発言したことによる責任を取りたくないのか?)
Re: (スコア:0)
「テキストインジェクションだからといって脆弱性と決めつける」同じレベルに堕ちたくないからだろ。
Re: (スコア:0)
判断できるようになってくださいというのが主張だから。
責任を取りたくないんじゃなくて、スキルやリテラシーを上げてくださいってこと。
Re: (スコア:0)
視聴者が理解できるように解説する気ないよね。
まぁ自分たちもわかってないんだからしょうがないけど。