無効な Subresource Integrity

medium Web App Scanning プラグイン ID 98649

概要

無効な Subresource Integrity

説明

Subresource Integrity (SRI) は、サードパーティ (CDN など) がホストしているリソースが予期せずに操作されずに配信されていることをブラウザが検証できるようにする Web セキュリティ標準です。

SRI は、リソースのフェッチに使用されるリソースタグ (スクリプトやリンクなど) の整合性属性で宣言された暗号化ハッシュと、このリソースの計算されたハッシュ値を比較することで機能します。

1 つ以上のリソースで、整合性属性ハッシュと計算されたハッシュの不一致が検出されました。

ソリューション

サードパーティのリソースが変更されていないか確認してください。正当な変更である場合は、整合性属性を更新してください。更新しない場合は、これ以上サードパーティのリソースを使用しないでください。

参考資料

https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity

https://www.owasp.org/index.php/3rd_Party_Javascript_Management_Cheat_Sheet#Subresource_Integrity

プラグインの詳細

深刻度: Medium

ID: 98649

タイプ: remote

ファミリー: Web Applications

公開日: 2019/8/7

更新日: 2023/7/13

スキャン テンプレート: basic, full, overview, pci, scan

リスク情報

VPR

リスクファクター: Low

スコア: 2.9

CVSS v2

リスクファクター: Medium

基本値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Medium

基本値: 4

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:N

CVSS スコアのソース: Tenable

脆弱性情報

パッチ公開日: 2019/8/1

脆弱性公開日: 2019/8/1

参照情報