IPA

セキュmemoでも、Lucrezia Borgia様のRoom Cantarellaでも、IPAの報告書に突込みが入りまくりです。

こんなんでいいのか？

「攻撃せずに脆弱性を発見する」ためには

指摘したいサイトと全く同じテスト環境を作成し、テスト環境で脆弱性を立証する。

しかないでしょう。大規模サイトだったらどうするのでしょう？
大規模サイトこそ、社会的に影響も大きいはずです。

OfficeLoveの日記

「情報システム等の脆弱性情報の取扱いに関する研究会」報告書の公表について