脆弱性を発見したら
セキュリティー脆弱性の報告は、フォーラムに投稿せずに下記の方法から連絡してください。
日本語での脆弱性の報告先
頂いた情報は、翻訳して、下記の HackerOne のサイトに投稿します。
直接、開発チームへの報告も歓迎します。
HackerOne には日本語チームの Hissy と Katz もチームに加わっています。
Security Related Bugs (脆弱性のあるバグについて)
https://www.concretecms.org/security
【以下訳】 2022/3/16時点のもの
脆弱性をレポートする方法は2つの方法があります。
1. HackerOne
https://hackerone.com/concretecms
HackerOne というサービスを使っての報告の受付をお願い致します。
アカウントを作成して、レポートしてください。
英語の説明が不安な方は日本語での投稿も可能です。
ただし、本文中に必ず「crayons」という文字を入れてください。
2. 日本語での報告
まず、当サイトのお問い合わせページよりお問い合わせください。
HackerOne ページ
http://hackerone.com/concretecms
【以下訳】 2015/3/18時点のもの
● 要件・ルール
探している脆弱性ターゲット(レベル)について
- 非常に深刻な問題 (A severe issue):意図しないものが、concrete5 サイトの編集や管理権限を取得できるようになってしまう問題
- 深刻な問題 (A critical issue):アクセス権がないユーザーがアクセス権のあるユーザーに対して影響を及ぼせる問題(例: 誰もが入力できる入力フォームからのSQL インジェクション等)
- 中間の問題 (A medium issue):ログイン・管理権限のあるユーザーが、本来ならば出来ないはずのアクションを起こせてしまう問題で、SQL インジェクションや XSS (クロスサイトスクリプティング)など、管理画面のアクセスが出来るユーザーであることが必要。ただし、このような自体が、深刻な問題や非常に深刻な問題につながるおそれがあると見ています。
- マイナーな問題 (A minor issue):悪意を持った行動には繋がらないが、本来とは違う場合。concrete5 を使用している(攻撃やハックをしている)ユーザーだけに影響が起きるもの。
レスポンス時間について
- レポートに対しては48時間以内に返答します
- 深刻な問題 (A critical issue) は、確認後48時間以内に修正します。その他の問題については、選別された後に適宜な時間枠の中で修正を行います。
- レポートを報告してくださった方には、謝礼を差し上げます(金銭以外)。謝礼についてはケースによって決められます。今までは、通常はステッカー。良いレポートの場合はTシャツを贈呈しています。
翻訳以上
関連リンク
■ 最近の報告アクティビティ
https://hackerone.com/concretecms
■ 脆弱性レポート貢献者一覧
http://hackerone.com/concretecms/thanks
初めての方へ & コミュニティ活動参加方法
はじめてのコミュニティ活動への誘い
Concrete CMS は世界中のユーザーによって開発されており、日本は Concrete CMS 日本ユーザーグループの有志が活動を行っています。どのような活動ができるのか紹介します。
フォーラムに参加しよう
concrete5 日本ユーザーグループでは、初心者から上級者まで様々な方の質問にコミュニティメンバー同士が交流しあうフォーラムがあります。
脆弱性を発見したら
concrete5 で脆弱性を発見した場合の報告方法を解説しています。
ドキュメント翻訳・作成をしてみよう!
英語の勉強に最適!ヘルプドキュメントなどの翻訳をしてくださる方を募集します。