セキュリティ的問題を見つけたため、IPAに報告。流れに便乗便乗。

生命側は勘違いだった。生命にはそれとは別の問題を三つ見つけたけど、一つは解決してるように見えるし、他のは他でも良く見るから、いちいち報告してたらキリ無いなこれ。
今報告したのが解決されたら、セキュリティ的問題の探し方講座でも書くかねぇ。検索と報告も自動化するべきだし。

バンク証券側も問題ない…らしい。ううむ。。。
cgiへのアクセスは403なので、外側からのミラーでは無い。
IPレンジで制限してるだけに見えるので問題ありそうに見えるが、
返答を見る限り、内側からのミラー+cgi無効化って感じなのかな。

両方取扱い終了になりそうなので総括しとくかな。
Webサービスだけ利用の脆弱性探索でこれだけの成果があれば不発でも満足。
簡単に探すだけで想像外のものが出てくるなぁ。
報告は安全なケースの可能性も織り込んだ方が良かったなぁと反省。
報告外にも突破しようと思えば突破できそうなものがあるが、まぁ対策されてるだろと思いこむ方向で。

><