http://shohoji.net/blog/archives/001633.html
ま、ほんとにいくつも脆弱性を確認しちゃってたら、釘刺されるわな。
脆弱性があるかもというのと、こうすれば出来ちゃいましたでは、大きく違うし。Exploitを見つける行為自体が、サービスを破壊する可能性があるということを忘れてるのじゃないかな?この人。
脆弱性というのは、アプリケーションを異常状態にしてしまうことなので、場合によってはデータの破壊や消失、サービスの停止が発生する場合があると思う。例えばBOFなんか最たるもんだし。アレなんか成功すると多くの場合、サービスが停止してしまう。そうなったとき、サービス提供側は脆弱性を発見した人に対して、損害賠償を請求できると思う。
だから、セキュリティ検査をやるときは必ず、可能なら、保守系、若しくは開発系で検査させてね。それが出来ないなら、バックアップを取ってね。でないとどうなっても知らないよ。あと、サービスが停止しちゃうかもしれないけど許してね。ということを契約時にお願いする。
それだけ、セキュリティの脆弱性検査という異常系の検査は何が起こるか分からないから、事前の取り決めをするんだけど･･･それをいきなり、やられたら、サービス提供側が怒ることもあるということを忘れちゃいけない。
そういったトラブルを防ぐために、脆弱性があるっぽいよというまでに止めてくれとIPAは言っていると思うんだけどなぁ。