徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

自身で運営していないWebサイトへ無断でセキュリティ診断に準ずる行為をすることは禁じられていると思っているのですが、公にバグバウンティをやっていないサイトの脆弱性が見つかって、確証をもってIPAなどに届けられるのは何故なのでしょうか。脆弱性にもよりそうですが、SQLに干渉する文字や、スクリプトやタグ文字を意図して送ってみたり、それなりのパターンを試さないと確証には至らない気がして、不思議に感じています。たまたま見つかったりするものなのでしょうか。

2020/08/01 23:28

一次情報にあたりましょう。「情報セキュリティ早期警戒パートナーシップガイドライン」に書いてあります。とくに、同ガイドライン「付録3」には「法的な論点について」詳しく説明されています。
簡単に言えば、関連法規に抵触しない範囲で診断することは必須ですし、「確証」は求められていません。
https://www.ipa.go.jp/security/ciadr/partnership_guide.html

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
最近買ってよかったものなどあれば
地方で脆弱性診断員として10年ほど働きました。私の診断するシステムが限られているためか、実は未だにメールヘッダインジェクションを実環境で見たことがありません。徳丸先生にも、見たことのない脆弱性というものはあるのでしょうか。(検証などで自分で構築したものは除いてください)
国産スマホは性能の割には値段が高いのが売れない理由だと思います。中国系メーカーとのコスパ勝負ではなぜが攻めたことしない印象です。
iPhoneはお金をかけてプロモーションしてることもあると思います。日本のメーカーは今はほぼ自社スマホのCMしてません。
いわゆる中華スマホといわれる中国メーカースマホの安全性が懸念されて日本ではiPhoneが売れていますが、具体的な懸念はどのようなものがあるのでしょうか。
またそのようなことを正しく判断できる専門家というのは日本にいるのでしょうか。
cve持ってますか