プロジェクト

全般

プロフィール

指摘事項 #164

[脆弱性診断]リファラーヘッダのオープンリダイレクト

匿名ユーザー が4年以上前に追加. 4年以上前に更新.

ステータス:
終了
優先度:
通常
担当者:
-
開始日:
2021/03/04
期日:
進捗率:

100%

予定工数:
8.00時間
機能名:
全般
原因区分:
脆弱性診断
要マニュアル反映:
いいえ
対応後確認_指摘事項 #164 [脆弱性診断]リファラーヘッダのオープンリダイレクト.xlsx (907 KB) 対応後確認_指摘事項 #164 [脆弱性診断]リファラーヘッダのオープンリダイレクト.xlsx 匿名ユーザー, 2021/03/08 10:16

指摘事項

危険度

解説 

リダイレクト先にリファラーヘッダの値が使用されていることが確認されました。リファラーヘッダの値を改ざんすることにより、被害者を任意のURL へリダイレクトさせることが可能です。

検出箇所 URL
https://c.ecomic-app.com/ecclub/eco/ecnews/toukou
https://c.ecomic-app.com/ecclub/kyuyokokaibidetail
https://c.ecomic-app.com/ecclub/kyuyokokaibidetail/update
https://c.ecomic-app.com/ecclub/KoyouKeiyakushoIkatsuDownLoad/KoyouKeiyakushodownload/doAction
https://c.ecomic-app.com/ecclub/koyouKeiyakusyoTenpuretoUpload/update
https://c.ecomic-app.com/ecclub/koyouKeiyakusyoTenpuretoUpload/upload
https://c.ecomic-app.com/ecclub/koyoukeiyakusho/handleformall
https://c.ecomic-app.com/ecclub/kyoten/kanrisha/tsuika/koshin

回答・対応内容

検出箇所 URLで、referrerを送信しないよう修正する。
※Viewで下記のmetaタグを設定する。
<meta name="referrer" content="never">

→対応後の確認結果を添付

---------------
対応確認いたしました。

履歴

#1 匿名ユーザー が4年以上前に更新

  • 指摘事項 を更新 (diff)

#2 匿名ユーザー が4年以上前に更新

  • 指摘事項 を更新 (diff)

#3 匿名ユーザー が4年以上前に更新

  • 予定工数8.00時間 にセット

#4 菊池 威之4年以上前に更新

  • ステータス新規 から 対応中 に変更

#5 匿名ユーザー が4年以上前に更新

  • 担当者匿名ユーザー から 拓圭 深田 に変更
  • 進捗率0 から 100 に変更
  • ステータス対応中 から 対応済 に変更

#6 匿名ユーザー が4年以上前に更新

  • 回答・対応内容 を更新 (diff)
  • ファイル 対応後確認_指摘事項 #164 [脆弱性診断]リファラーヘッダのオープンリダイレクト.xlsx を追加

#7 匿名ユーザー が4年以上前に更新

#8 拓圭 深田4年以上前に更新

  • 回答・対応内容 を更新 (diff)
  • 担当者拓圭 深田 から 菊池 威之 に変更
  • ステータス対応済 から 承認済 に変更

#9 菊池 威之4年以上前に更新

  • 担当者菊池 威之 から 匿名ユーザー に変更

#10 菊池 威之4年以上前に更新

  • ステータス承認済 から 終了 に変更

再診断結果OKにてクローズします。

他の形式にエクスポート: Atom PDF