パスワードを忘れた? アカウント作成
13811089 story
セキュリティ

一律に「脆弱性ではない」とは評価できないテキストインジェクション 41

ストーリー by hylom
人を狙う危険性 部門より

URLなどを操作することで、Webページ内に任意の文字列を挿入して表示させられる不具合は「テキストインジェクション」と呼ばれている。このテキストインジェクションは危険な脆弱性としては認識されないことが多く、脆弱性報奨金制度で認定されづらいという(これを指摘する記事)。

多くの場合、テキストインジェクションではコンピュータに不正な処理を実行させることはできない。そのため、脆弱性としては認められないケースが多いようだ。しかし、たとえば「○○に移転しました」のようなメッセージを表示させてユーザーに不正なサイトへのアクセスを誘導したり、脅迫メッセージを表示するといった悪用が可能だ。そのため、テキストインジェクションだからといって脆弱性ではないと決めつけるのではなく、十分な評価が必要だと指摘されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 不具合報告 (スコア:2, 興味深い)

    by Anonymous Coward on 2019年01月09日 18時23分 (#3545798)

    昔の話ですが、国内のものって、報告するところを設けてあるサイトでも、報告してもろくなことにならない。

    ・メール関係のサービスで、s-jisのまま送られてきていると指摘したら仕様はjisですRFC見ろと怒りの返答をもらえた。(自分が間違っているということは考えないのだろう、メールの仕様の話になってた)ほかの人がjis対応でない海外ソフトでも漢字が表示されるからs-jisの可能性が高いと他の人の投稿も無視。
    ・オンラインゲームの不具合報告で、不具合報告の掲示板に書いたら、そこに書くなメールでよこせとメールを頂く。再現させたからといって得する不具合でもサーバーがダウンする不具合ではない。(不具合掲示板にいっぱい書き込みあると不具合が多いと思われることを懸念したのかもしれない)
    ・検索結果で行きついたページからトップページへと思ってURL削ったらフォルダが丸見えの設定だったので報告したら、不正アクセスするつもりか!
    他にもあったけど忘れた。いずれにしてもケチをつける気かって感じだった。
    特にオンラインゲームの不具合報告して、よかったことは一度もない。

    最近は、大丈夫なのだろうか?

    • by Anonymous Coward
    • by Anonymous Coward

      変わってないよ。
      GoogleとかMSはトンデモルート経由でも取次いでくれるのとは対極ですなぁ。

      根本的にちがうんだなと。

    • by Anonymous Coward

      >昔の話ですが、国内のものって、報告するところを設けてあるサイトでも、報告してもろくなことにならない。

      某大手WEBメールサービスで他のアカウントのメールが読めるようになってたので、自分のメールも読まれてるはずだからなんとかしてくれとサポートに陳情したけどシカトされた。
      結局怖くなって退会したけど、案の定何時まで経ってもメルマガとか広告が飛んでくる。
      退会したので個人情報と連絡先メールアドレスを抹消してくれと連絡したけどそれもシカト。
      関わると負けなサービス

  • by nemui4 (20313) on 2019年01月09日 17時08分 (#3545752) 日記

    タイトルが「・・・ではないとは・・・できない」と二重否定になっていて分かりづらい気がする。

    このテキストインジェクションは危険な脆弱性としては認識されないことが多く、脆弱性報奨金制度で認定されづらいという

    ・テキストインジェクションは脆弱性としては認識されない事が多い。
    ・脆弱性報奨金制度では脆弱性として認定されづらい。
    ってことは簡単に書くと

    脆弱性報奨金制度ではテキストインジェクションの「脆弱性」は認定されにくい

    でいいのかな。
    と思ったらリンク先には元々

    脆弱性報奨金制度で認定されづらいテキストインジェクション

    って簡単に書いてあった。
    #学生の頃「二重否定」は分かりづらくなるからなるべく使うなと先生に言われてた。

    • by hahahash (41409) on 2019年01月10日 8時30分 (#3546016) 日記

      言いたいのは、
      テキストインジェクションも安全ではないから注意しろ
      であって、
      脆弱性報奨金制度で認定されやすいかどうか
      は、主題とは違うんじゃないだろうか?

      『脆弱性ではない』(と評価されがちである現状)を否定したいのだから、
      このタイトルは正しいと自分は思う。(わかりやすいとは言えないが……)

      テーマを反映させてわかりやすく書くなら、

      「テキストインジェクションにも危険性はある」

      とかだろうか?

      親コメント
    • by Anonymous Coward

      無駄な情報が多くてわかりづらい気がする

      二重否定のタイトルはわかりづらい
      リンク先も「脆弱性報奨金制度で認定されづらいテキストインジェクション」と分かりやすく書いてある

      だけでいいな。
      最初に主旨を明確に提示するってことで、文頭に「噛みつきたい、揚げ足取りたい」と追加するのもいいかもしれない

  • by Anonymous Coward on 2019年01月09日 16時30分 (#3545720)

    やり過ぎて「クリック」を「**ック」に変換して失笑買うだけやで

  • by Anonymous Coward on 2019年01月09日 17時25分 (#3545761)

    ハイパーリンクに仕込めなかった。
    javascript:document.body.innerHTML=document.body.innerHTML.replace(/スコア:/g,'友達の数→');

    • by Anonymous Coward
      • by Anonymous Coward on 2019年01月10日 2時56分 (#3545986)
        うお、これ動くじゃん。
        普通のリンクと思わせてJavascript実行させられるとか、脆弱性認定していいんじゃない?
        Cookieにhttponly属性ついてないし、セッションも抜けちゃうね。
        親コメント
        • これ任意のJavaScriptが実行可能なので、ブラウザにパスワードを保存していたら不可視のフォームに自動入力させて抜くこともできる。
          そのままだとダブルクォーテーションなどは制限されるけど、いくらでも抜け道あるし。

          ユーザ投稿の任意のユーザ入力のスキーム名(javascript:など)を許可しているとかこういう低レベルな脆弱性って
          2000~2005年ぐらいのインターネッツかよって感じ

          流石インターネット老人ホームなサイトだけのことはあるなぁ

          もしスラドのパスワードを他の重要なサイトで使っていたら即変更しようね
          勿論、スラドじゃなくて他の重要なサイトの方を……ね!
          # スラドのパスワードは5chのトリップレベルのものだからどうでもいい

          親コメント
      • by Anonymous Coward

        なんか表示が崩れる。
        でもalert [security.srad.jp]

        • by Anonymous Coward

          試しているうちに途中送信してしまいました。
          どうやったんだろ。

        • by Anonymous Coward

          崩れるのは値を返しているからでは?

  • 「コメントを書く」ボタンを押して、表示されるテキストボックスに適当な文章と危険なサイトのURLを入力、「プレビュー」→「これで投稿!」で、
    ユーザーを不正なサイトへ誘導することが可能です。文章を変更すれば、脅迫メッセージを表示するといった悪用もできます。
    hylomは私に報奨金を支払うべきだ。

    って話?これを脆弱性だって主張するのはちょっと違う気がする。

    # 投稿だと思わない場所に入力出来てしまうことが問題だ、って言い分は理解できるけど…。

  • by Anonymous Coward on 2019年01月09日 21時24分 (#3545887)

    (オフトピックですが)

    >「テキストインジェクションだからといって脆弱性ではないと決めつけるのではなく、
    >十分な評価が必要だ」と指摘されている。
    ここまで指摘しておいて「十分な評価が必要だ」と言うんじゃなくて、「脆弱性と考え対策すべき」とか言えないのかな?

    最近、マスコミもそうだし会社でもそうですが、あーだこーだ指摘だけ散々しておいて、
    最後は「する・しない、すべき・すべきではないはあなたが判断してください」って言うやつ、勘弁してほしい。
    (発言したことによる責任を取りたくないのか?)

    • by Anonymous Coward

      「テキストインジェクションだからといって脆弱性と決めつける」同じレベルに堕ちたくないからだろ。

    • by Anonymous Coward

      判断できるようになってくださいというのが主張だから。
      責任を取りたくないんじゃなくて、スキルやリテラシーを上げてくださいってこと。

      • by Anonymous Coward
        とはいえ、AIとかビッグデータとか、それらが何でどういうことができるのか、仕組みはどうなのか、とか
        視聴者が理解できるように解説する気ないよね。
        まぁ自分たちもわかってないんだからしょうがないけど。
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...