mixi脆弱性報告制度:評価対象外になったもの - WEB系情報セキュリティ学習メモ
Link: mixi脆弱性報告制度:評価対象外になったもの - WEB系情報セキュリティ学習メモ
<blockquote>
報告したけど評価対象外だった脆弱性
検索フォームで、「キーワード」欄のエスケープがされておらず、プログラムに任意のコードを差し込めるコードインジェクション脆弱性があり、system関数によりOSコマンドがコールできた。
なぜに。
報酬100万をけちったために、信用がた落ちの例となるか否か。
