mixiが2013年9月31日からはじめた脆弱性報告制度を利用し、いくつかの脆弱性の報告を行ったので、その結果とミクシィセキュリティチームの対応について記載しようと思う。 脆弱性報告制度 https://developer.mixi.co.jp/inquiry/security/ 1. 報告内容と報酬について 対象・脆弱性・報酬を表にまとめてみた。 対象脆弱性報酬 Find Job! XSS 12.5万円 Open Redirect (なし) mixi Open Redirect / OpenID漏えい 6万円 mixi research SQL (ログイン) 50万円 SQL (ログイン(Ciao)) SQL (検索) SQL (検索(Ciao)) SQL (パスワードリマインダ) 他人のデータの閲覧・改ざん (なし) 他人のデータの閲覧 (なし) XSS 12.5万円 XSS XSS