ウェブアプリケーション脆弱性関連情報届出様式
2017年5月31日

                                         独立行政法人 情報処理推進機構
                                                  セキュリティセンター


  この届出様式は、ウェブアプリケーションに関する脆弱性関連情報を独立行
政法人情報処理推進機構（IPA）に届け出る際に、届出者の方に使用していた
だくものです。円滑な取扱いのために、ご協力をお願いいたします。

  届出に際しては、「ウェブアプリケーション脆弱性関連情報届出様式の記入
の手引き」をご一読ください。
https://www.ipa.go.jp/security/vuln/report/guide_web.txt

======================================================================

   2017年   12月  28日
        
0. 取扱い方針

■ 脆弱性関連情報の取扱いプロセスに則り、脆弱性関連情報を取扱うことへの
   了解

■ 以下、本ガイドライン適用範囲への了解
・主に日本国内からのアクセスが想定されているウェブサイトで稼動する
ウェブアプリケーションである
・その脆弱性に起因する影響が不特定または多数の人々におよぶおそれがある

※ 上記2つにチェックがない場合は、お取扱いいたしかねます。

※ 以下、* がある項目は入力必須項目です。


1. 届出者情報

  1) 届出者情報
    住所（都道府県）：東京都
    所属：IPA セキュリティセンター
    氏名*：IPA 太郎
    電子メールアドレス*：foo@ipa.go.jp
    TEL：
    FAX：
    届出証明書*： □ 希望する        ■ 希望しない


  2) 届出者情報の取り扱いについて*
     ■ 届出者情報をウェブサイト運営者に知らせても良い
     □ 届出者情報をウェブサイト運営者には知らせず、すべてのやりとりを
        IPA とのみ行う

     ※ 「IPAとのみ」を希望する場合、「2. 脆弱性関連情報」等に届出者情報
        は記入しないでください。また、ファイルのプロパティ等に個人情報が
        含まれる場合がありますので、ファイルを添付する場合は個人情報を
        削除してください。


2. 脆弱性関連情報

  1) 脆弱性を確認したウェブサイトのURL*
     オンラインショッピングサービスA
     http://shop-a.example.jp/search/
     (トップページ: http://shop-a.example.jp/)

  2) 脆弱性の確認日*
     2017年   12月  26日

  3) 脆弱性の種類*
     クロスサイト・スクリプティング

  4) CWEとの関連付け
     CWE-79

  5) 脆弱性の発見に至った経緯*
     当該ページ(http://shop-a.example.jp/search/)の商品検索欄に「"ipa"」
     (ダブルクォートを含む)を入力し、フレーズ検索したところ、検索結果
     のウェブページ表示が崩れていることを確認しました。

  6) 脆弱性であると判断した理由*
     ・攻撃シナリオの概要
       - 想定される攻撃者の条件：
       	 誰でも攻撃可能

       - 想定される被害者：
       	 罠ページを閲覧したユーザ

       - 想定される攻撃手順： 
         (1)攻撃者が本脆弱性を悪用した罠リンク(悪意のあるスクリプト)を
            用意する。
         (2)攻撃者はメールや掲示板に罠リンクを貼り付け、利用者を誘導
            する。
         (3)利用者が罠リンクにアクセスすることで、利用者のブラウザ上で
            攻撃者が用意した悪意のあるスクリプトが実行される。


     ・脆弱性と判断した理由：
       ダブルクォート(")を含んだ文字列を入力して検索した場合、ダブル
       クォート(")がエスケープ処理されずにウェブページに埋め込まれて
       しまっていたため。

  7) 脆弱性により発生しうる脅威*
       - 機密性：
         なし

       - 完全性： 
         JavaScriptが実行され、ページの表示が改ざんされる。

       - 可用性：
         なし

     悪意のあるスクリプトの内容によって、下記のような被害が発生する可
     能性があります。

       ・ウェブサイトの改ざん
         本物のウェブサイトのドメイン(shop-a.example.jp)で、本物のウェ
         ブサイトを装った偽のページが表示される。これにより、悪意のあ
         るコンテンツを表示されたり、不正プログラムをダウンロードさせ
         られたりするなどの被害が考えられる。

     ※ 攻撃者が脆弱性を用いずに通常の操作の範囲内で同等のことが可能な場合、
        脅威とはいえません。

  8) ウェブサイトの連絡窓口*
     info@shop-a.example.jp

  9) 検証コード*
     HTMLファイルを添付しましたので、ご参照ください。

  10) 脆弱性が再現した証拠*
     添付ファイルをご参照ください。

     ※ 当該脆弱性を再現したことが確認できる画面キャプチャ、ログファイルなどを
        添付してください。
     ※ 証拠の取得に際しては、関連法令に触れることがないように留意してください。

  11) 深刻度と影響範囲
     CVSS v3 基本値スコア：
        CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/BS:6.1

     利用者数の根拠：なし

     重要インフラの影響：なし

     攻撃コード公表の有無：なし

     本脆弱性を用いた攻撃発生の有無：なし


  12) その他
     サイト運営者に本問題の情報を届出ましたが、回答はなく、現在も問題
     が未修正のままとなっています。

3. IPA 以外の組織への届出について*
     ■ あり            □ なし

     届出年月日*：2017年  12月 26日
     届出番号：なし
     届出先組織：株式会社○○
     問い合わせ窓口URL*：https://www.shop-a.example.jp/contact
     窓口メールアドレス*：info@shop-a.example.jp
     窓口電話番号：
     届出内容*：メールを添付しました。

     ※ 届出内容は、届出メールそのものをエクスポートして添付頂くか、
        メールのヘッダ情報（送信日時、件名などを含む）と本文を転記してください。


4. 今後の連絡について

  1) IPA からの連絡における暗号化*

     □ 希望する        ■ 希望しない
     ※ 希望する場合は、公開鍵を添付してください。


5. その他
     特になし

======================================================================