【テスト】文字数確認
|
95期 顧客向けWebサイト セキュリティ監査 報告書
診断期間: 2019/01/07 ~ 2018/01/18 |
|
|
|
7 |
-
- Webアプリケーション診断結果
" C " 危険度Highの脆弱性を検出
-
- ネットワーク診断結果
" B " 危険度Mediumの脆弱性を検出
|
評価 |
説明 |
|
S |
脆弱性が検出されず非常にセキュアな状態 |
|
A |
危険度Lowの脆弱性のみを検出 |
|
B |
危険度Mediumの脆弱性を検出 |
|
C |
危険度Highの脆弱性を検出 |
|
D |
危険度Highの脆弱性を複数種類検出 |
|
* |
実証には至らなかったが、脆弱性となり得る可能性を検出 |
-
- 脆弱性重大度の分類と対応目標時間
原則、検出された脆弱性は修正が必須となります。
脆弱性の分類基準と対応目標時間を以下の通り定めております。
|
脆弱性 |
判断基準 |
対応目標時間 |
|
High |
【システムの改ざんや破壊、情報の窃取が可能な状態】 (判断例) ・SQLインジェクション、コマンドインジェクション ・ディレクトリトラバーサル ・セッション管理の不備 |
2週間以内の対策実施。 |
|
Medium |
【既知の攻撃手法の組み合わせによって発生する脅威】 (判断例) ・クロスサイトスクリプティング ・メールヘッダインジェクション |
原則として、一か月以内の対策実施。 |
|
Low |
【高度な技術や特定の条件化にて発生する脅威】 (判断例) ・例外処理の不備 ・無効化されていないデバッグコマンド、 |
対応要否検討の上、都度判断。 |
検出事項
-
- Webアプリケーション脆弱性一覧
|
No. |
リスク |
名称 |
|
[1] |
High |
SQLインジェクション |
|
[2] |
Low |
Error Codes |
-
- ネットワーク脆弱性一覧
|
No. |
リスク |
名称 |
|
[1] |
Medium |
暗号化により保護されていない認証機構の検出 |
|
[2] |
Low |
公開不要と思われるWebコンテンツの検出 |
|
[3] |
Low |
TRACEメソッドの検出 |
