ウェブアプリケーション脆弱性関連情報届出様式 2013年3月1日 独立行政法人 情報処理推進機構 セキュリティセンター この届出様式は、ウェブアプリケーションに関する脆弱性関連情報を独立行 政法人情報処理推進機構(IPA)に届け出る際に、届出者の方に使用していた だくものです。円滑な取扱いのために、ご協力をお願いいたします。 届出に際しては、「ウェブアプリケーション脆弱性関連情報届出様式の記入 の手引き」をご一読ください。 http://www.ipa.go.jp/security/vuln/report/guide_web.txt ====================================================================== 2012年 5月 18日 1. 届出者情報 1) 届出者情報 住所(都道府県):東京都 所属:IPA セキュリティセンター 氏名*:IPA 太郎 電子メールアドレス*:foo@ipa.go.jp TEL: FAX: ・届出者情報については、* があるものは必須項目です。 ・電子メールアドレスがない場合、TEL、FAX のどちらかで必ず連絡が取 れる情報を記入してください。 2) 届出者情報の取り扱いについて □ 届出者情報をウェブサイト運営者に知らせても良い ■ 届出者情報をウェブサイト運営者には知らせず、すべてのやりとりを IPA とのみ行う 2. 脆弱性関連情報 1) 脆弱性を確認したウェブサイトのURL オンラインショッピングサービスA http://shop-a.example.jp/search/ (トップページ: http://shop-a.example.jp/) 2) 脆弱性の種類 クロスサイト・スクリプティング 3) 脆弱性の発見に至った経緯 当該ページ(http://shop-a.example.jp/search/)の商品検索欄に 「"made in japan"」(ダブルクォートを含む)を入力し、フレーズ 検索したところ、検索結果のウェブページ表示が崩れていることを 確認しました。 4) 脆弱性であると判断した理由 ダブルクォート(")を含んだ文字列を入力して検索した場合、ダブ ルクォート(")がエスケープ処理されずにウェブページに埋め込ま れてしまっていたため。 5) 脆弱性により発生しうる脅威 (1)攻撃者が本脆弱性を悪用した罠リンク(悪意のあるスクリプト)を 用意。 (2)攻撃者はメールや掲示板に罠リンクを貼り付け、利用者を誘導 する。 (3)利用者が罠リンクにアクセスする事で、利用者のブラウザ上で 攻撃者が用意した悪意のあるスクリプトが実行される。 悪意のあるスクリプトの内容によって、下記のような被害が発生す る可能性があります。 ・ウェブサイトの改ざん 本物のウェブサイトのドメイン(shop-a.example.jp)で、本物 のウェブサイトを装った偽のログインフォームや問合せページ が表示させられる。悪意のあるコンテンツ表示や、不正プログ ラムをダウンロードさせる等。 ・個人情報などの漏洩、なりすまし 会員ID やパスワード、個人情報等が窃取され、なりすましさ れる等。 6) ウェブサイトの連絡窓口 info@shop-a.example.jp 7) その他 サイト運営者に本問題の情報を届出ましたが回答はありません。 3. IPA 以外の組織への届出について ■ あり □ なし 届出年月日:2012年5月1日 届出番号:なし 届出先、窓口担当者:当該ウェブサイトの運営者、担当者名は不明 窓口メールアドレス:info@shop-a.example.jp 窓口電話番号: 4. 今後の連絡について 1) IPA からの連絡における暗号化 □ 希望する ■ 希望しない 暗号化を選択した場合は、公開鍵を添付してください。 5. その他 特になし =====================================================================