脆弱性を発見したら
セキュリティー脆弱性の報告は、フォーラムに投稿せずに下記の方法から連絡してください。
日本語での脆弱性の報告先
頂いた情報は、翻訳して、下記の HackerOne のサイトに投稿します。
直接、開発チームへの報告も歓迎します。
HackerOne には日本語チームの Hissy と Katz もチームに加わっています。
Security Related Bugs (脆弱性のあるバグについて)
http://www.concrete5.org/developers/security/
【以下訳】 2015/3/23時点のもの
脆弱性をレポートする方法は2つの方法があります。
1. HackerOne
http://hackerone.com/concrete5
HackerOne というサービスを使っての報告の受付をお願い致します。
アカウントを作成して、レポートしてください。
英語の説明が不安な方は日本語での投稿も可能です。
ただし、本文中に必ず「crayons」という文字を入れてください。
2. 英語メールでの報告
security@concrete5.org に PGP署名付きのメールで英語で送ってください。署名は上記の「Security Related Bugs」ページに記載。
3. 日本語での報告
まず、当サイトのお問い合わせページよりお問い合わせください。
HackerOne ページ
http://hackerone.com/concrete5
【以下訳】 2015/3/23時点のもの
● 要件・ルール
- concrete5.org サイト自身の脆弱性は受け付けません
- サイトやサーバー自身の問題 (concrete5.org, concrete5-japan.org, portlandlabs.com)は受け付けません。(例:サイトのバージョンが古い、SPF ヘッダーがない) など
- concrete5.org もしくは concrete5-japan.org で配布されている配布版を使い、ローカルサーバーなどでテストをお願いします。
- concrete5 の脆弱性のテストもボランティアによって行われています。そのため脆弱性の説明に関してもできるだけ丁寧にお願い致します。
- concrete5 コミュニティはセキュリティ脆弱性への対応を真剣に捉えております。脆弱性を先に公開せずに、HackerOne への報告を行っていただければ幸いです。
- このルールを読まない方がいるので、このルールを読んだことを証明するために「crayons」というキーワードを必ず、レポートのコメントの中に入れてください。キーワードがないと、自動的にクローズされます。
※ HackerOne ページでは、レポートをしてくれたユーザー一覧ページを公開しています。 - jQuery、ADODB、TinyMCE、Zend ライブラリーなどのサードパーティープログラムの問題の場合、concrete5 に直接深刻な脆弱性が認められる場合のみ報告をお願いします。
探している脆弱性ターゲット(レベル)について
- 非常に深刻な問題 (A severe issue):意図しないものが、concrete5 サイトの編集や管理権限を取得できるようになってしまう問題
- 深刻な問題 (A critical issue):アクセス権がないユーザーがアクセス権のあるユーザーに対して影響を及ぼせる問題(例: 誰もが入力できる入力フォームからのSQL インジェクション等)
- 中間の問題 (A medium issue):ログイン・管理権限のあるユーザーが、本来ならば出来ないはずのアクションを起こせてしまう問題で、SQL インジェクションや XSS (クロスサイトスクリプティング)など、管理画面のアクセスが出来るユーザーであることが必要。ただし、このような自体が、深刻な問題や非常に深刻な問題につながるおそれがあると見ています。
- マイナーな問題 (A minor issue):悪意を持った行動には繋がらないが、本来とは違う場合。concrete5 を使用している(攻撃やハックをしている)ユーザーだけに影響が起きるもの。
レスポンス時間について
- レポートに対しては48時間以内に返答します
- 深刻な問題 (A critical issue) は、確認後48時間以内に修正します。その他の問題については、選別された後に適宜な時間枠の中で修正を行います。
- レポートを報告してくださった方には、謝礼を差し上げます(金銭以外)。謝礼についてはケースによって決められます。今までは、通常はステッカー。良いレポートの場合はTシャツを贈呈しています。
翻訳以上
関連リンク
■ 最近の報告アクティビティ
http://hackerone.com/concrete5
■ 脆弱性レポート貢献者一覧
http://hackerone.com/concrete5/thanks