mixiに報告した脆弱性2 - kusano-k’s blog
mixiの脆弱性報告制度(すでに終了している)で報告して、修正された脆弱性。 youbrideの有料機能を無料で使える問題 2014/03/12 報告 2014/03/18 修正完了 2014/03/24 75,000円のAmazonギフトが届いた youbrideはmixiの子会社の株式会社Diverseが運営する婚活サイト。一時、制度の対象だった。 youbrideでは無料ユーザーはプロフィールの公開条件は「全体に公開」しか選べない。 ChromeのDeveloper Toolで他の選択肢を有効にしたら、「全体に公開」以外の公開条件も選べてしまった。 mixiワードのXSS 2014/03/31 報告 2014/03/31 修正完了 2014/04/09 125,000円のAmazonギフトが届いた mixiワードにXSS可能な脆弱性があった。 「猫」には、キャットタワー、キャットフー
「TvRock」「東方文花帖 〜 Shoot the Bullet.」「kkcald」の脆弱性 - kusano-k’s blog
昨年、「TVRock」「東方文花帖 〜 Shoot the Bullet.」「kkcald」に脆弱性を発見し、IPAに報告しました。IPAからは脆弱性に関連する情報を公開しないように言われる(情報非開示依頼)のですが、起算日から1年以上が経過すると情報非開示依頼の取り下げを求めることができるようになります。取り下げを申請して認められたので、脆弱性関連情報を公開します。 脆弱性関連情報を開発者に通知したという通知と一緒に起算日が何日かということが知らされるので、開発者に通知した日が起算日なのかと思っていましたが、ガイドラインには「本ガイドラインの「IPA および JPCERT/CC 対応」において「製品開発者への連絡」(3-(2)-2)として規定された連絡を最初に試みた日を起算日とします。」と書かれていて、実際に開発者と連絡が取れたかどうかに関わらず、IPAが脆弱性関連情報を受理した日から1
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
