脆弱性検査のエビデンスに関して
脆弱性検査のエビデンスが欲しい。提供可能か?
脆弱性に関する調査のエビデンスが必要な場合は、ご自身で調査を手配をしていただくことになります。
お問い合わせをいただければ、調査会社のご紹介も可能です。
RCMS・サーバ側(SaaS版の場合)で対応できるものは行っておりますが、テンプレート編集でのソースコードやページの構成、パスワードの登録設定・メンバー登録の設定などの管理画面側の設定によって、脆弱性をサイト管理者様の設定で作ってしまう可能性があります。
主に、確認をお願いしたい点は
・テンプレート編集・ヘッダフッタのソースコードで、外部から飛んでくる変数にescapeが付いているか?(XSS対策)
・外部ドメインのJavaScriptライブラリなどを利用している場合にそれは信用してよいドメインか?
・サイト管理でパスワードの暗号化にチェックが付いているか?
・メンバー登録時に付与される権限が適切か?
になります。他にも確認するべき箇所はある場合がありますので、ご自身で気になる点はチェックをされるか、サイト制作委託先にご確認をされるようにお願いいたします。
万が一、RCMSに起因する脆弱性がありましたら、ご連絡いただければ、速やかに改修をいたします。
脆弱性と指摘があっても、重大なものでない場合や、こちらで対応する必要がないと判断するようなものもありますので、ご了承ください。
サーバの修正プログラムの適用に関しては、重大な脆弱性のものはできれば即日、または数日以内に対応を行っております。
詳しくは、
https://www.r-cms.jp/news/
をご確認ください。