ブラウザのセキュリティモデルは、通常、あるドメインの Web コンテンツが別のドメインのデータにアクセスすることを防ぎます。これは一般に「同一生成元ポリシー」として知られています。

URL ポリシーファイルは、データを読み取るためのクロスドメイン権限を付与します。デフォルトでは許可されていない操作を許可します。Silverlight の URL ポリシーファイルは、デフォルトで「ClientAccessPolicy.xml」という名前のターゲットサーバーのルートディレクトリにあります (例:「www.example.com/ClientAccessPolicy.xml」)。

「ClientAccessPolicy.xml」でドメインが指定されている場合、サイトは、そのドメイン内の任意のサーバーのオペレーターによる、ポリシーファイルが存在するサーバー上の任意のドキュメントの取得を許可することを宣言します。

この Web サイトに展開された「ClientAccessPolicy.xml」ファイルは、すべてのドメインに対してサーバーを開き (純粋なワイルドカードとして 1 つのアスタリスク「*」の使用がサポートされます)、適用済みの構成に依存する HTTPS を介した HTTPS リソースへのアクセスを許可する場合があり、サードパーティに対して HTTPS で保護され、中間者攻撃を容易にするデータが漏洩する可能性があります。

Cookie に「secure」フラグが設定されると、ブラウザは Cookie がクリアテキストチャネル (HTTP) に送信されないようにし、暗号化されたチャネルが使用されている場合 (HTTPS) にのみ送信を許可します。

スキャナーが、Cookie が安全なフラグが設定されていないサーバーによって設定されていることを検出しました。この Cookie の初期設定は HTTPS 接続を使用したものでしたが、同じサーバーへの HTTP リンクがあると、Cookie がクリアテキストで送信されます。

注意: Cookie に機密情報が含まれていない場合、この脆弱性のリスクは軽減されます。

HttpOnly フラグは、クライアントサイドスクリプト (JavaScript など) が Cookie にアクセスして使用するのを防ぎます。

これは、XSS 攻撃がクライアントのセッショントークンを保持している Cookie を標的とすることを防ぎます (HttpOnly フラグの設定によって、XSS の脆弱性自体が防止されたり、保護されたりすることはありません)。

HTTP 自体は、ステートレスなプロトコルです。したがって、サーバーは、どのクライアントがどのリクエストを実行し、どのクライアントが認証済みまたは未認証であるかを判断できません。

ヘッダー内で HTTP Cookie を使用するとウェブサーバーは個々のクライアントを識別できるため、有効な認証を保持しているクライアントと保持していないクライアントを特定できます。これらは、セッション Cookie として知られています。

Cookie がサーバーによって設定されている場合 (HTTP 応答のヘッダーが送信されます)、いくつかのフラグのフラグを設定して Cookie のプロパティとブラウザでの処理方法を構成することができます。

これらのフラグの 1 つは、Cookie を使用できるホストまたはドメインを表します。

ホストではなく親ドメインに Cookie が設定されている場合、同じ Cookie がそのドメイン内の他のホストへのアクセスに使用されている可能性があります。これには多くの正当な理由がありますが、設定ミスによってアタックサーフェスが拡大している場合もあります。

クリックジャッキング (ユーザーインターフェース修正攻撃、UI 修正攻撃、UI 修正) は、Web ユーザーを騙して、ユーザーがクリックしていると認識しているものとは異なるものをクリックさせるように仕向ける悪意のある手法であり、一見無害な Web ページをクリックした際に機密情報を漏洩させたり、コンピューターをコントロールしたりする可能性があります。

サーバーは「X-Frame-Options」ヘッダーを返しませんでした。これは、この Web サイトがクリックジャッキング攻撃のリスクがあることを意味します。

「X-Frame-Options」HTTP 応答ヘッダーを使用して、ブラウザがフレームまたは iframe 内にページをレンダリングできるかどうかを示すことができます。サイトはこれを利用して、コンテンツが他のサイトに埋め込まれないようにし、クリックジャッキング攻撃を回避することができます。

クロスオリジンリソース共有 (CORS) は、最新の Web ブラウザが同一オリジンポリシーによって実装された制限をバイパスできるようにする HTML5 テクノロジーです。

同一オリジンポリシーでは、JavaScript がページとやり取りできるように、JavaScript とページの両方が同じドメインからロードされる必要があります。これにより、外部ドメインからロードされたときに悪意のある JavaScript が実行されることを防ぎます。

CORS ポリシーでは、アプリケーションはブラウザによって実装された保護に対する例外を指定でき、開発者は外部 JavaScript の実行およびページとのやり取りが許可されている許可リストのドメインを指定できます。

「Access-Control-Allow-Origin」ヘッダーが「*」または null に設定されている場合、任意のドメインがクロスドメインリクエストを実行し、応答を読み取ることができるため、安全ではありません。攻撃者がこの構成を悪用し、標準の認証メカニズムを使用しないアプリケーション (内部ネットワークからのアクセスのみを許可するイントラネットなど) からプライベートコンテンツを取得する可能性があります。

HTTP プロトコル自体はクリアテキストであるため、HTTP を介して送信されるデータをキャプチャし、コンテンツを表示できます。データをプライベートに保ち、傍受されないようにするために、HTTP は Secure Sockets Layer (SSL) または Transport Layer Security (TLS) を介してトンネル化されることがよくあります。これらの暗号化標準のいずれかが使用される場合、HTTPS と呼ばれます。

HSTS は、HTTPS 経由でのみ通信するようにブラウザに指示するためにサーバー上で設定できる、オプションの応答ヘッダーです。これは、ユーザーが同じサーバーで HTTP リソースをリクエストした場合でも、ブラウザによって強制されます。

サイバー犯罪者は、HTTP を使用してクライアントからサーバーに渡される機密情報を侵害しようとすることがよくあります。これは、さまざまな中間者攻撃 (MiTM) 攻撃またはネットワークパケットキャプチャを介して実行できます。

スキャナーは、影響を受けるアプリケーションが HTTPS を使用しているものの、HSTS ヘッダーを使用していないことを検出しました。

ウェブアプリケーションは時折、クライアントがリダイレクトされるページのアドレスをパラメータ値で保存します。例えば「yoursite.com/page.asp?redirect=www.yoursite.com/404.asp」

クライアントがリクエスト内の影響を受けるパラメーター値を変更し、リダイレクトの場所を制御できる場合、検証されないリダイレクトが発生します。たとえば、次の URL「yoursite.com/page.asp?redirect=www.anothersite.com」は「www.anothersite.com」にリダイレクトされます。

リダイレクトは次のようにして発生します:

1) 3xx ステータスコードのある応答が、「Location」ヘッダーの URL にリダイレクトするようブラウザに指示します

2)「Refresh」ヘッダーのある応答が、設定された間隔 (0 の場合もある) の後にページをリロードするようブラウザに指示します。ヘッダーは任意の URL パラメーターを取り込んでロードする場合があります

3) HTML <meta> タグは、HTTP 応答ヘッダーの代わりに使用できる「http-equiv」属性を取得できます。これを使用して、「リフレッシュ」をシミュレートできます

4) JavaScript はブラウザを任意の URL にリダイレクトするために使用されます

サイバー犯罪者は、ソーシャルエンジニアリング攻撃でこれらの脆弱性を悪用し、ユーザーが知らずに悪意のある Web サイトにアクセスするようにします。

スキャナーが、注入された値にクライアントをリダイレクトする前にサーバーがパラメーター値を検証しないことを検出しました。

スキャナーが、通常の 200 (OK)、301 (完全に移動)、302 (見つかりました)、および 404 (見つかりません) のコード以外のステータスコードのある応答を特定しました。これらのコードは、Web アプリケーションの動作を特定するのに役立ち、対処する必要のある予期しない応答を特定できる場合があります。

HTTP TRACE メソッドを使用すると、クライアントはサーバーにリクエストを送信し、サーバーの応答で同じリクエストを返すことができます。これにより、クライアントは、サーバーがリクエストを期待通りに受信しているかどうかを判断できます。多くの場合、このメソッドはデバッグ目的で使用されます (リクエストが変更されずに到着することを検証するなど)。

多くのデフォルトのインストールでは TRACE メソッドがまだ有効になっています。

それ自体は脆弱ではありませんが、サイバー攻撃者に HTTPOnly Cookie フラグをバイパスする方法を提供するため、XSS 攻撃によってセッショントークンへのアクセスに成功する可能性があります。

スキャナーが、影響を受けるページが HTTP TRACE メソッドを許可することを検出しました。

Web サーバーで使用できる HTTP メソッドはいくつもあります (「OPTIONS」、「HEAD」、「GET」、「POST」、「PUT」、「DELETE」など)。これらのメソッドはそれぞれ異なる機能を実行し、Web サーバーでの使用が許可されている場合に、それぞれ関連するレベルのリスクがあります。

スキャナーが、各メソッドに対して HTTP OPTIONS リクエストとダイレクト HTTP リクエストを送信し、サーバーで許可されているメソッドを検出しました。

このプラグインは、スキャナーがスキャンポリシーで提供されているログインフォームの認証情報を使用して Web アプリケーションを認証できなかった場合に実行されます。

プラグインの出力をチェックして、スキャンで発生した問題の説明を取得します。

スキャンによって検出された Web アプリケーションのサイトマップを公開します。

添付ファイルの、スキャン中に検出されたすべての URL のリストが利用可能です。サイトマップの各 URL について、次の情報が提供されます。

- URL が初めて検出された時刻。- URL の検出に使用されたロジック。この情報は、次の方法で確認できます。特定のプラグインによるページのレンダリングをクロールする。- URL を検出するためにリクエストされた親 URL。- URL が少なくとも 1 回リクエストされている場合、応答に関する情報。- URL が監査のためにキューに入れられているかどうか。- URL が監査のためにキューに入れられていない場合、URL に監査が必要ない理由。- URL が効果的に監査されたかどうか。- URL が効果的に監査されていない場合、スキャナーが URL の監査を行えなかった理由。


URL を監査キューに追加しない理由は次のとおりです。

- not_in_domain: URL のドメインがメインのターゲット URL と一致しなし。- scope_configuration: URL がリストスキャン設定を含む範囲と一致しない。- directory_depth: URL パスのディレクトリ数がスキャン構成設定を超えている。- exclude_file_extension: URL ファイル拡張子が、ファイル拡張子ブラックリスト設定の 1 つのエントリと一致した。- exclude_path_patterns: URL が、URL 除外ブラックリスト設定の 1 つのエントリと一致した。- redundant_path: 同じパスとクエリ文字列パラメーターで監査される URL の数の上限に達した。- request_redirect_limit: スキャン構成設定ごとに許可される HTTP リダイレクトの数の上限に達した。- queue_full: 監査する URL の数の上限に達した。


スキャンが監査のためにキューに入れられた URL の監査に失敗した場合、失敗の理由は次のとおりです。

- timeout: URL コンテンツの取得を試行する際にリクエストがタイムアウトした。- filesize_exceeded: URL 応答が、スキャン設定で定義されたファイルサイズの制限を超えた。- scan_timelimit_reached: スキャンタイムリミットの前に URL を監査できなかった。- user_abort: URL が監査される前にユーザーがスキャンを停止した。

実行されたプラグインのスキャン情報と統計を提供します。

ID	名前	製品	ファミリー	公開日	深刻度
98065	安全でないクライアントアクセスポリシー	Web App Scanning	Web Applications	2017/3/31	low
98064	安全なフラグが検出されない Cookie	Web App Scanning	HTTP Security Header	2017/3/31	low
98063	HttpOnly フラグが検出されない Cookie	Web App Scanning	HTTP Security Header	2017/3/31	low
98062	親ドメインの Cookie 設定	Web App Scanning	HTTP Security Header	2017/3/31	info
98060	「X-Frame-Options」ヘッダーがありません	Web App Scanning	HTTP Security Header	2017/3/31	low
98057	安全でない「Access-Control-Allow-Origin」ヘッダー	Web App Scanning	HTTP Security Header	2017/3/31	low
98056	HTTP Strict Transport Security ポリシーがありません	Web App Scanning	HTTP Security Header	2017/3/31	medium
98054	未検証のリダイレクト	Web App Scanning	Web Applications	2017/3/31	medium
98050	興味深い応答	Web App Scanning	Web Applications	2017/3/31	info
98048	HTTP TRACE が許可されています	Web App Scanning	Web Servers	2017/3/31	low
98047	許可されている HTTP メソッド	Web App Scanning	Web Applications	2017/3/31	info
98034	ログインフォームの認証に成功しました	Web App Scanning	Authentication & Session	2017/3/31	info
98009	Web アプリケーションのサイトマップ	Web App Scanning	General	2017/3/31	info
98000	スキャン情報	Web App Scanning	General	2017/3/31	info

検出

最新のプラグイン

low

low

low

info

low

low

medium

medium

info

low

info

info

info

info