Similar documents
— intra-martで運用する場合のセキュリティの考え方    

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

WEBシステムのセキュリティ技術

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

SQL インジェクションの脆弱性

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

正誤表(FPT0417)

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

<4D F736F F F696E74202D20466F C68EE390AB B28FD089EE2091E6382E3094C A2E B8CDD8AB B83685D>

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

改訂履歴 改訂日 バージョン 作成者 2014/1/1 Ver VALTES 初版作成 改訂内容及び理由

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

7 PIN 番号入力後 以下のアプレットエラーが表示されます 署名検証が失敗しました 署名検証が行なわれませんでした 8 PIN 番号入力後 以下のアプレットエラーが表示されます APPLET-ERROR APPLET-ERROR APPL

FUJITSU Cloud Service K5 認証サービス サービス仕様書

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

Mcafee

改版履歴 版数 日付 内容 担当 V /2/25 初版発行 STS V //9 サポート環境の追加 STS 2

SiteLock操作マニュアル

PowerPoint プレゼンテーション

【ドコモあんしんスキャン】サービスマニュアル

クライアント証明書インストールマニュアル

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

Webアプリケーションを守るための対策

<< 目次 >> 1 PDF コンバータのインストール ライセンスコードの入力 PDF にフォントを埋め込みたい場合の設定 PDF オートコンバータ EX で使用しない場合 PDF コンバータ単体で使用する場合の説明 PDF コンバータのアン

別添 2 SQL インジェクション ぜい弱性診断で最低限行うべき項目 1 ( ' ( 検索キー )''-- ( 検索キー ) and 'a'='a ( 検索キー ) and 1=1 は最低限 行うこと ) OS コマンドインジェクション 2 (../../../../../../../bin/sle

クライアント証明書導入マニュアル

金融工学ガイダンス

製品概要

BACREX-R クライアント利用者用ドキュメント

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

スライド 1

【EW】かんたんスタートマニュアル

Ver.30 改版履歴 版数 日付 内容 担当 V //3 初版発行 STS V..0 05//6 パスワード再発行後のパスワード変更機能追加 STS V..0 05//5 サポート環境変更 STS V //9 サポート環境の追加 STS ii

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

目次 1. 会員登録 推奨動作環境 サイト閲覧環境 シミュレーション動作環境 各種設定について メールアドレスおよびニックネームの登録 個人情報の取り扱い

1 ユーザ認証を受けた権限で アプリケーションを利用するために ログインプロキシにアクセスします 2 ログインプロキシにより Shibboleth SP から Shibboleth IdP の認証画面にリダイレクトされます 3 ブラウザに認証画面を表示します 4 認証画面にユーザ / パスワードを入

3. 対応している基本的な Microsoft Exchange 機能 サーバとの同期 Microsoft Exchange Server 上にあるメール 連絡先 カレンダーなどの情報をスマートフォンと自動同期 ( ダイレクトプッシュ ) できます スマートフォン利用者が特に意識することなくリアルタ

TGBrowserユーザマニュアル

1. 件名 各種学生情報システム群の脆弱性診断業務一式 2. 目的独立行政法人国立高等専門学校機構 ( 以下 機構 という ) は 平成 16 年 4 月に独立行政法人化され 全国 51の国立高等専門学校 ( 以下 高専 という ) が一つの法人格にまとまることによるスケールメリットを活かした管理運

Microsoft PowerPoint - Userguide-SyoninMail-v1.0.ppt

SULMS簡単操作マニュアル

取扱説明書

目的 概要 全体像 概念図 用語の定義 用語 説明 用語 説明 用語 説明 用語 説明 参考資料

第 3 版 はじめに 06 年 0 月 6 日から Active!mail にログインする際は DOUBLE GATE( 多要素認証システム ) を使用して認証します ログイン認証方法は 学内ネットワークを利用する場合と学外ネットワークを利用する場合で異なります 学内から利用する場合

スライド 1

証明書ダウンロードシステム操作手順書 (ios) 第 1.15 版 証明書ダウンロードシステム 操作手順書 (ios) Ver1.15 セキュアネットワークサービス 2018 年 10 月 29 日 セキュアネットワークサービス 1 DLS-SNT-IOS-V1.15

目次 1 はじめに 1.1 診断の目的 本報告書の取り扱い 運営上のリスク 診断内容 2.1 診断日程 診断対象 診断環境 実施者 診断項目 診断結果概要 3.1

Ver1.10 セコムあんしんログインサービス利用者マニュアル ID パスワード認証 +ワンタイムパスワード認証 (Mac OS X) 2015 年 1 月 26 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights

金融工学ガイダンス

< はじめに > 推奨環境インターネット伝送サービスをご利用いただくための推奨環境は以下の通りです OS ブラウザソフト Microsoft Windows Vista Microsoft Internet Explorer 8 Microsoft Windows 7(32bit/64bit) Mi

アカウント管理者 操作ドキュメント

金融工学ガイダンス

brieart初期導入ガイド

Microsoft Word - Gmail-mailsoft設定2016_ docx

Microsoft Word 基_シラバス.doc

管理サイト操作マニュアル Version.1.1. デジアナコミュニケーションズ株式会社

◎ エラーメッセージ 画面別 対応一覧表 ◎

平成30年度 パソコン・ネットワークの設定について

に不要となった時点で速やかに抹消する (9) 提供した情報資産の返還 廃棄受託者は 中野区から提供された情報資産について本契約終了後 速やかに中野区に返却するか 消去又は廃棄してその旨を書面で報告する また 提供データの内容及び交換履歴に関して記録しておく (10) 記録媒体の制限受託者は 中野区か

項番 現象 原因 対応手順書など 4 代理店コードでのダウンロード時に以下のメッセージの画面が表示される サービス時間外のため 現在 このサービスはご利用になれません 当機能のサービス時間外です 以下の時間帯にダウンロードしてください 月曜日 ~ 金曜日 7:00~21:00 土曜日 7:00~17

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

Microsoft PowerPoint - Userguide-keitai-douga-v1.1.ppt

金融工学ガイダンス

改版履歴 版数 日付 内容 担当 V /3/9 初版発行 STS V /5/4 エラー画面の削除 STS V //3 サポート環境の追加 サポート環境の説明文章の STS 修正 画面修正 V /2/25 サポート環境変更 STS V

目次 1. はじめに ご利用条件 証明書配付システムの停止時間 実施手順 電子証明書の取得手順 Windows 証明書ストアへの電子証明書インポート手順 電子証明書インポート完了確認.

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

目次 1. 教育ネットひむかファイル転送サービスについて ファイル転送サービスの利用方法 ファイル転送サービスを利用する ( ひむか内 ) ファイル転送サービスへのログイン ひむか内 PCでファイルを送受信する

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

問合せ分類 1( 初期設定関連 ) お問い合わせ 初期設定の方法がわかりません 初期設定をご案内させていただきます 1 下記 URL をクリックし 規約に同意し サービス登録番号を入力をしてください

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

Microsoft PowerPoint - 変更済み参考_ 以降_団体検査員向け 現場検査結果の報告方法.ppt [互換モード]

はじめに 注意事項本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 輸出時の注意 AX シリーズに関し 本製品を輸出される場合には 外国為替及び外国貿易法の規制並びに米国輸出管理規制など外国の輸出関連

(株) 殿

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

メールアドレスから作成される匿名化された ( ハッシュ とも呼ばれる) 文字列は 訪問者が?Gravatar? サービスを使用中かどうか確認するため同サービスに提供されることがありま同サービスのプライバシーポリシーを確認する場合は こちらをクリックしてください 利用目的について 荒し対

[投影版]見つけられやすい脆弱性とウェブフレームワークに求められるセキュリティ対策_

目次 第 1 章 リモート接続手順 ログイン SSL-VPNシステムにアクセスする ACTIVEXモジュールのインストール ( 初回接続時 ) ActiveXモジュールのインストール

ESET Mobile Security V4.1 リリースノート (Build )

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

目次 5. よくある質問とその答え 会員登録関連 質問 会員登録をしましたが 認証 E メールが届きません 質問 退会したいのですが ログイン関連 質問 正しいメールアドレスやパスワードを入力しても

SOC Report

OpenLAN2利用ガイド

サイト名

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

スライド 1

地下埋設物調査ネット受付システム 操作マニュアル

IBM API Connect 開発者ポータル構成ガイド 4章

メール利用マニュアル (Web ブラウザ編 ) 1

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

内容環境... 3 対応 OS の変更... 3 関連アプリケーションの追加... 4 機能追加... 5 グラフ機能... 5 稼働率... 8 サービス一括削除 自動復旧エスカレーションコマンド AWS カスタムメトリックス監視 NRPE 任意監視... 11

目次〜.indd

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

高知大学 学生用

VoIP-TA 取扱説明書 追加・修正についての説明資料

OmniTrust

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

Transcription:

株式会社 御中 Sample_SHIFT_Service 脆弱性診断報告書 報告書提出日 :20XX 年 月 日 サンプル

本報告書について本報告書は以下の脆弱性診断について その結果を報告します 診断期間 20XX 年 月 日 ~ 20XX 年 月 日 診断実施場所 - SHIFT SECURITY ( 東京都神谷町 ) IP: xxx.yyy.zzz.www 診断種別 Web アプリケーション診断 診断手法 1. 作業者によるマニュアル診断 2. ツールによる自動診断 診断対象 http://shift_sample.jp - 3 - Copyright 2016 SHIFT Inc.

総評 評点 79 点 (/100 点 ) この評点は脆弱性の深刻度と数をもとに計算しています 評点が高い場合でも改修すべき脆弱性を含む場合がございますので 各脆弱性の詳細をご確認ください ここでは脆弱性を セキュリティ要素 と システム要素 の観点から 5 段階で評価します 5 段階評価は目安ですので 詳細なリスクと必要な対策は検査項目一覧と各脆弱性の詳細情報を確認ください (0: 重大な問題あり ~ 5: 問題なし ) セキュリティ要素別 機密性 システム要素別 サーバ ミドルウェア 5 3 完全性 3 3 可用性 バックエンド 3 5 フロントエンド セキュリティ要素説明機密性機密性が低い場合 個人情報等が漏洩などのリスクが生じます完全性完全性が低い場合 情報の改竄などのリスクが生じます可用性可用性が低い場合 サービス停止などのリスクが生じますコメント : 機密性に関して XSS とユーザーアカウント情報の漏洩のリスクが報告されております 完全性については CSRF と XSS のリスクが報告されており いずれも脅威度が高い問題です 可用性に関しては CSRF のリスクが 1 件報告されているのみですが 一般に脅威度の高い問題であることを指摘します システム要素サーバ ミドルウェアバックエンドフロントエンド 説明 OS や http サービスなどのミドルウェアの問題を表します認証や入力フォーム ロジック 出力処理の問題を表します古い jquery や CSS, JS や HTML 記述の問題を表します コメント : 今回の診断ではフロントエンド サーバ ミドルウェアに関しては大きなリスクは検出されず 問題なしと判断されました 一方 報告された脆弱性は全てバックエンドに関するもので 特に脅威度の高い問題として CSRF と XSS が報告されております - 4 - Copyright 2016 SHIFT Inc.

検査項目一覧 脆弱性の種類 ( 観点 ) と 画面 毎に検査数と異常が検知された検査数を示します 複数の検査で同一の脆弱性を検出する場合があるため 脆弱性の数と検査数は一致しません この表は検査項目の精度を把握するのにご利用ください テスト要素観点検査数緊急重要警告注意情報 合計 501 0 4 4 1 0 認証パスワード入力と強度 16 1 認証認証ロジック 5 1 認証パスワード更新 / 復旧 6 セッションセッション管理 5 セッションタイムアウト 1 セッションセッションの秘匿 5 セッションアクティブセッション管理 5 アクセス制御アクセスの制限の強制 28 4 アクセス制御最小権限の原則 5 アクセス制御オブジェクト参照 5 アクセス制御ファイルリスティング 15 入力制御入力バリデーション 12 入力制御 SQL 注入 35 入力制御 LDAP 注入 52 入力制御 OS コマンド注入 69 入力制御 XPATH 注入 52 入力制御 RFI/LFI 36 入力制御メールヘッダインジェクション 6 入力制御ユーザ由来データ 1 XSS XSS 2 2 XSS 反射型 XSS 51 1 XSS 保存型 XSS 9 XSS DOM 型 XSS 1 データ保護暗号化 1 データ保護エラー制御 3 データ保護キャッシュ制御 10 データ保護クライアントストレージ 3 データ保護 SSL/TLS 証明書 15 HTTP 設定 HTTP メソッド 2 HTTP 設定 HTTP ヘッダ 10 HTTP 設定外部リダイレクト 12 リソース管理ユーザ由来データ 5 リソース管理 CORS 1 リソース管理クライアント技術 1 技術固有モバイル固有 6 技術固有 WEB サービス固有 7 設定利用バージョン 1 設定デフォルトファイル 1 - - 1-5 - Copyright 2016 SHIFT Inc.

画面 検査数 緊急 重要 警告 注意 情報 合計 501 0 4 4 1 0 62 2-41 01. トップ 21 02. 受験申込 30 03. プライバシーポリシー 21 04. 受験申込 18 05. 受験申込ページ送信完了 21 06. ログイン 80 2 1 07. 検定説明 30 08. 利用規約 20 09. 検定説明 27 2 10. 試験 62 2 11. アンケート 39 12. 試験終了 20 403 Forbidden 3 404 NotFound 3 500 Internal Error 3-6 - Copyright 2016 SHIFT Inc.

脆弱性一覧 # 深刻度 CVSSv3 脆弱性 1 重要 8.1 CSRF 対策が施されていない 2 警告 6.1 XSS( 反射型 ) の影響を受ける可能性がある 3 警告 5.3 ログイン失敗時のレスポンスから登録済みアカウントを列挙できる 4 注意 3.7 ロック時のメッセージから登録済みアカウントを列挙できる 深刻度は CVSSv3 に基づき 以下のように定めています 深刻度 CVSSv3 緊急 重要 警告 注意 9.0~10.0 7.0~8.9 4.0~6.9 0.1~3.9 情報 0.0-7 - Copyright 2016 SHIFT Inc.

#1. CSRF 対策が施されていない 検査項目 十分な強度の CSRF 対策によりトランザクションが保護されること 概要 該当の POST リクエストに CSRF トークンが含まれておりません 観点 アクセス制御 : アクセスの制限の強制 CVSSv3 緊急 重要 警告 注意 情報 対応基準障害報告 ID 画面 URL 脅威対策参考再現方法特記事項 8.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H ASVSv3-4.13 Sample_02 09. サンプル入金 http://shift_sample.jp/sample/sample09.php CSRF トークンが無いため CSRF を受けるリスクが生じます CSRF により ログイン状態で悪意あるページにアクセスした際 ユーザの意図しない処理を強制されるリスクが生じます パラメタに CSRF トークンを追加し これを含まないリクエストを受理しないようにします Cheat Sheet (https://www.owasp.org/index.php/cross-site_request_forgery_(csrf)_prevention_cheat_sheet ) 1. 該当リクエストを送信する 2. リクエストヘッダやパラメータにトークンが含まれているか確認する 対象サービスの該当箇所においては 不正な入金処理が受理されるリスクがあります - 8 - Copyright 2016 SHIFT Inc.

#2. XSS( 反射型 ) の影響を受ける可能性がある 検査項目 表示文字列が適切にエスケープされること (XSS 耐性 ) 概要 表示文字列が適切にエスケープされないなどの理由により XSS が実行可能です 観点 XSS:XSS CVSSv3 緊急 重要 警告 注意 情報 対応基準障害報告 ID 画面 URL 脅威対策参考再現方法 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N ASVSv3-5.15 Sample_06 1. サンプルトップ 10. サンプル wiki /sample/sample01.php /sample_wiki/ ユーザのブラウザ上で不正なスクリプトが実行されます これにより ユーザの個人情報の漏えいや改ざんが発生するリスクがあります 出力時に HTML サニタイズを適用してください Cheat Sheet (https://www.owasp.org/index.php/xss_(cross_site_scripting)_prevention_cheat_sheet) エビデンスとして XSS に成功した際のキャプチャ画像ファイルを添付しておきます 下記のそれぞれの URL とパラメータに対して パラメータにスクリプト挿入した URL をアドレスバーに直接入力すると XSS に成功します 1. 対象 URL/ パラメータ : http://shift_sample.jp/sample/sample01.php [arg1 parameter] 挿入後 URL: http://shift_sample.jp/sample/sample01.php?arg1=sample_value"><script>alert(1)<%2fscript> 2. 対象 URL/ パラメータ : http://shift_sample.jp/sample_wiki/ [JSESSIONID cookie] 特記事項 挿入後リクエスト : GET /sample_wiki/ HTTP/1.1 ( 略 ) JSESSIONID=[16 桁のセッション ID]"><script>alert(1)<%2fscript>; - 9 - Copyright 2016 SHIFT Inc.

#3. ログイン失敗時のレスポンスから登録済みアカウントを列挙できる 検査項目 存在するユーザと存在しないユーザでログイン失敗メッセージが同じであること 概要 ログインに失敗したときのエラーメッセージから 使用したアカウントが実際に存在するか推定できま す 観点 認証 : 認証ロジック CVSSv3 緊急 重要 警告 注意 情報 対応基準障害報告 ID 画面 URL 脅威対策参考再現方法 5.3 CVSS:3.0/AV: N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N ASVSv3-2.18 Sample_08 06. サンプルログイン /sample/login.php ログインを試行したアカウントが存在するか否かが判別できるため 登録済みアカウントを列挙できます これにより ブルートフォース攻撃の成功率が向上します 試行したアカウントが実際に存在するか否かに関わらずエラーメッセージは常に固定した内容にします また アカウントとパスワードのどちらを誤ったのか エラーメッセージによって特定されないようにします Cheat Sheet (https://www.owasp.org/index.php/authentication_cheat_sheet) 1. 不正アカウントを使用してログインを試行する 2. 下記エラーメッセージが表示されるのを確認する : アカウント ID non-existing_sample_test は存在しません 特記事項 添付ファイル (sample_evidence03.png) も併せて参照して下さい - 10 - Copyright 2016 SHIFT Inc.

#4. ロック時のメッセージから登録済みアカウントを列挙できる 検査項目 総当たりやサービス拒否攻撃に対応するため 自動でリクエスト制限がされること 概要 アカウントロックが作動したときのメッセージから 使用したアカウントが実際に存在するか推定できま す 観点 認証 : パスワード入力と強度 CVSSv3 緊急 重要 警告 注意 情報 対応基準障害報告 ID 画面 URL 脅威対策参考再現方法 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N ASVSv3-2.20 Sample_09 06. サンプルログイン /sample/login.php ログイン失敗によるアカウントロックが無い場合 ブルートフォース攻撃が容易になります アカウントロックまでの可能な試行回数が多すぎる場合 攻撃が成功する可能性が高くなります ログインに 10 回程連続で失敗したらアカウントをロックするようにします Cheat Sheet (https://www.owasp.org/index.php/authentication_cheat_sheet) 1. 不正アカウントを使用してアカウントロックを作動させる 2. 下記メッセージが表示されるのを確認する : 3.7 アカウントはロックされました 特記事項 添付ファイル (sample_evidence04.png) も併せて参照して下さい - 11 - Copyright 2016 SHIFT Inc.

用語解説 CVSS( 共通脆弱性評価システム ) CVSS は 情報システムの脆弱性に対するオープンで汎用的な評価手法であり ベンダーに依存しない共通の評価方法を提供しています CVSS を用いると 脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります また ベンダー セキュリティ専門家 管理者 ユーザ等の間で 脆弱性に関して共通の言葉で議論できるようになります (IPA より引用 ) XSS( クロスサイト スクリプティング ) XSS は HTML や XML 等を動的に生成する仕組みを設けている場合に セキュリティ上の問題となるものです XSS により攻撃者のスクリプトがブラウザ上で実行されると情報漏えいやユーザの意図しない操作が実行されるリスクがあります CSRF( クロスサイト リクエスト フォージェリ ) CSRF は第三者が意図したリクエストを強制送信させることで任意のコマンドを実行できるため 情報改竄 情報漏洩に加えて 他のサーバへの攻撃に悪用されるなどのリスクがあります EICAR テストファイル EICAR テストファイルはアンチマルウェアソフトの動作を確認するためのテストファイルです このファイルは無害ですが 多くのアンチマルウェアソフトでは検査用ファイルとして登録されており マルウェアとして検知されます - 12 - Copyright 2016 SHIFT Inc.

特記事項 免責事項本脆弱性診断は診断対象のアプリケーションにアクセスし 一般的な利用者の立場で解析 検査ツール等を利用して行うブラックボックステスト手法にて診断を実施しております ブラックボックステストの特性上 本報告書の指摘事項は再現性 網羅性について完全に保証するものではないことをご了承ください また 本報告書指摘事項について対策を実施する際は 貴社の責任において実施くださるようお願いいたします お問い合わせ本報告書に関するご質問 お問い合わせを本報告書提出後 1 ヶ月間承ります お問い合わせ先 support@shiftsecurity.jp - 13 - Copyright 2016 SHIFT Inc.

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック