Chrome Logger の情報漏洩
medium Web App Scanning プラグイン ID 113951
Language:
概要
Chrome Logger の情報漏洩説明
Chrome Logger は、Chrome コンソールでサーバー側のアプリケーションをデバッグするために使用される Google Chrome の拡張機能です。Chrome ブラウザの拡張機能とアプリケーションのサーバー側ライブラリをインストールすることで、開発者は設定済みのデバッグ情報を Chrome で直接取得できます。Chrome Logger は、base64 エンコーディングを使用する応答 HTTP ヘッダー「X-ChromePhp-Data」または「X-ChromeLogger-Data」を通じてサーバーデータをクライアントに送信することで機能するため、攻撃者は Chrome Logger でログに記録された機密データを取得し、これを利用してさらなる攻撃を行う可能性があります。
ソリューション
アプリケーションが本番環境で Chrome Logger を使用しないようにします。必要であれば、機密情報をログには含めず、認証済みのユーザーにのみ読み取りを許可するようにアクセス許可を制限します。参考資料
プラグインの詳細
深刻度: Medium
ID: 113951
タイプ: remote
ファミリー: Web Applications
公開日: 2023/6/9
更新日: 2023/6/9
スキャン テンプレート: basic, full, pci, scan
リスク情報
VPR
リスクファクター: Low
スコア: 1.4
CVSS v2
リスクファクター: Medium
基本値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: Tenable
CVSS v3
リスクファクター: Medium
基本値: 5.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS スコアのソース: Tenable