WebSocket の暗号化されていないトラフィック

high Web App Scanning プラグイン ID 114412

概要

WebSocket の暗号化されていないトラフィック

説明

WebSocket は、最新のウェブアプリケーションで使用されるプロトコルで、リアルタイムウェブアプリケーションのクライアントとサーバー間の全二重通信を可能にします。デフォルトでは、WebSocket プロトコルはベース ws:// URL スキームを使用する際に暗号化を使用しないため、中間者攻撃にさらされます。

ソリューション

WebSocket が TLS 暗号化トランスポートプロトコルを使用することを確認します。

参考資料

https://devcenter.heroku.com/articles/websocket-security

https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/11-Client-side_Testing/10-Testing_WebSockets

プラグインの詳細

深刻度: High

ID: 114412

タイプ: remote

ファミリー: SSL/TLS

公開日: 2025/2/12

更新日: 2025/2/12

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.1

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: High

基本値: 7.4

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

CVSS スコアのソース: Tenable

CVSS v4

リスクファクター: High

Base Score: 7.6

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

CVSS スコアのソース: Tenable

参照情報