mixiの脆弱性報告制度について 結末 - Shira's blog
2014-06-08 mixiの脆弱性報告制度について 結末 前回記事を書いたことによりmixiからメールが来たので、結末を書こう思う。 1. 一部追加で報酬を頂けた。 SQLの脆弱性については報酬を頂くことはできなかったが、他人のデータを閲覧・改ざんできる脆弱性については最終的にはmixi側の判断ミスということとなり、報酬を頂くことができた。 なんとか追加で報酬を頂けたものの、こちらのブログの方も書いているが、報酬の額が高額になるとなにかと理由を付けて支払いを渋っているように感じた。 2. mixi本体の問い合わせはCGIの不具合でmixiに届いていなかった。 前回の記事で「ミクシィセキュリティチームにメールをだしても返信がないことから、現在はmixi本体のサイトの問い合わせページ(https://developer.mixi.co.jp/inquiry/security/)から問い合わ
mixiの脆弱性報告制度について - Shira's blog
mixiが2013年9月31日からはじめた脆弱性報告制度を利用し、いくつかの脆弱性の報告を行ったので、その結果とミクシィセキュリティチームの対応について記載しようと思う。 脆弱性報告制度 https://developer.mixi.co.jp/inquiry/security/ 1. 報告内容と報酬について 対象・脆弱性・報酬を表にまとめてみた。 対象脆弱性報酬 Find Job! XSS 12.5万円 Open Redirect (なし) mixi Open Redirect / OpenID漏えい 6万円 mixi research SQL (ログイン) 50万円 SQL (ログイン(Ciao)) SQL (検索) SQL (検索(Ciao)) SQL (パスワードリマインダ) 他人のデータの閲覧・改ざん (なし) 他人のデータの閲覧 (なし) XSS 12.5万円 XSS XSS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
