IPAからのメール(2) :: 事例紹介

昨日の件が堪えたのか、本日連絡が入りました。

– —————————————————————- このメールは、取扱い番号 IPA#******** に関する連絡です。- —————————————————————-

エーアイスクエアステーションご担当者様

IPA セキュリティセンターの**です。先ほどはお電話にてご対応いただき、ありがとうございました。この度はご連絡が遅くなり、大変申し訳ありませんでした。

本メールでは、先にご連絡しました貴ウェブページのセキュリティ上の問題に関し、問題の詳細と、今後の取扱いにつきましてご連絡します。

また、対策の参考情報として下記 URL をご参照いただければ幸いです。

IPA セキュリティセンター 「安全なウェブサイトの作り方」 http://www.ipa.go.jp/security/vuln/websecurity.html IPA セキュリティセンター 「セキュア・プログラミング講座」 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

1.詳細情報

発見者から次の報告が届いています。 =============================================================== 1) セキュリティ上の問題を確認したウェブサイトのURL The自治体 http://www.jichitai.org/

2) セキュリティ上の問題の種類 クロスサイト・スクリプティング

3) 問題の説明 以下のURLにアクセスすると、URLに埋め込まれたHTML文がそのまま 帰ります。 http://www.jichitai.org/

URLに埋め込まれたパラメータ「****」が、サニタイズ不十分なま まページ中に埋め込まれていると思われます。

4) セキュリティ上の問題により発生しうる脅威 被害者のブラウザ上で、悪意あるコードを実行される可能性があり ます。 ===============================================================

IPAでは、実際に本問題が存在するかどうかの検証を実施しておりませ んので、まずは上記問題の有無につきまして、調査をお願いいたしま す。

2.今後の取扱いにつきまして

1) 一次返信 本メールが届き、内容をご確認いただいたことを確認させていただ くため、本メールへのご返信いただければ幸いです。

2) セキュリティ上の問題の有無の調査 セキュリティ上の問題の有無を調査いただき、結果をお知らせくだ さい。

3) セキュリティ上の問題の修正 セキュリティ上の問題が存在した場合は修正をお願いいたします。

4) 修正完了報告書の送付 修正完了後、下記の修正完了報告書に必要事項記入の上、送付いた だければ幸いです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ セキュリティ上の問題の修正完了報告書━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

平成 年 月 日組織名 :所 属 :氏 名 :

■ 1. セキュリティ上の問題の修正完了報告

セキュリティ上の問題の修正が完了したことを以下の通り報告します。 IPA 取扱番号 : 対象 URL : 問題の原因 : 修正内容の詳細 :

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 修正完了報告書の記入方法(マニュアル)━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本書は「セキュリティ上の問題の修正完了報告書(以下、修正完了報告書と表記)」を記入するための記入方法と記入例を記載したものです。修正完了報告書に記入する際は、下記の内容に沿って記入して頂けますようお願い致します。

■ 目次───────────────────────────────────── はじめに 1.セキュリティ上の問題の修正完了報告 1-1.「問題の原因」と「修正内容の詳細」の記入例 1-1-1.SQL インジェクション 1-1-2.XSS (クロスサイト・スクリプティング) 1-1-3.HTTP ヘッダインジェクション 1-1-4.ディレクトリトラバーサル

■ はじめに─────────────────────────────────────

左上に修正完了報告書をご記載頂いた年月日と、組織名、所属、氏名をご記入 下さい。