脆弱性診断で指摘される事項に関して

脆弱性診断で指摘を受けました。どうしたらよいでしょうか?



まず、脆弱性診断をされる場合には、弊社サポートまで事前にご連絡をいただくようお願いいたします。

脆弱性があると判定された場合には、弊社サポートまでご連絡をいただければ速やかに調査・対応をいたします。
ただし、指摘事項によっては対応の必要がないとの判断になるものもありますので、ご了承ください。

【よくある対応の必要ない指摘事項】
・常時SSL設定でない場合に、クッキーの _lang / rcmsid にsecureフラグがない
・クッキーの _lang にhttponlyフラグがない
※_langは表示する言語値(例:ja)を格納するクッキーです。
※rcmsidはユーザーのトラッキングを行う設定をした場合に発行されるものです。
参考)クッキーのSecure/HttpOnly属性に関して

【対応する予定のない指摘事項】
・HTTPレスポンスステータスが300番台等で、Strict Transport SecurityやX-Content-Type-Optionsが付与されていない
・画像ファイルなどにStrict Transport Securityが付与されていない

【CMSという仕組みの特性上対応が難しい指摘事項】
・管理画面で、X-XSS-Protectionが付与されていない(理由:更新画面でエラー判定されることが多い為)
・Content Security Policyが付与されていない(理由:ブラウザによる挙動の違いが多く定常的な対応が困難な為)

【利便性との兼ね合いで対応をしていない指摘事項】
・パスワードリマインダーでメールアドレスの存在のあり・なし表示(回数制限は実装)
・会員登録時でメールアドレスの存在のあり・なし表示(回数制限は実装・メールのみを入力して返信メールから会員登録する機能などを利用して回避可能)
・常時SSLでない場合にX-FRAME-OPTIONSヘッダーを出力しない場合がある
など。
ご要望いただければ改修対応自体は可能ですが、有償カスタマイズによる対応になります。

また、お客様の管理画面領域での設定による不備によって脆弱性と判定されてしまっている場合には、弊社で対応を代行する場合は有償となります。

その他の【セキュリティ・パスワード・スパム対策】に関するFAQ

同じタグがついたFAQ