指摘事項 #165
[脆弱性診断]設定推奨ヘッダの未設定
ステータス:
終了
優先度:
通常
担当者:
-
開始日:
2021/03/04
期日:
進捗率:
100%
予定工数:
2.00時間
機能名:
全般
原因区分:
脆弱性診断
要マニュアル反映:
いいえ
指摘事項
危険度
低解説
Strict-Transport-Security、X-Content-Type-Options、X-Frame-Options、Cache-Control の各ヘッダが適切に設定されていないことを確認しました。・Strict-Transport-Security
ブラウザに暗号化通信(HTTPS)を用いて通信を行うよう指示するレスポンスヘッダです。
同ヘッダが有効になっている場合、ブラウザ内部で非暗号化通信(http://~)を暗号化通信(https://~)
に変換して送信するため、ネットワーク上に平文の通信内容を送信されることがなくなります。
ただし、初回アクセス時に非暗号化通信(http://~)でアクセスした場合、ヘッダ設定前であるため、通
信は保護されないことに注意してください。・X-Content-Type-Options
Internet Explorer(IE) 8 以降に対して、HTTP レスポンスボディからのコンテントタイプ推測の禁止を
指示するレスポンスヘッダです。
これにより、IE におけるコンテントタイプ推測によるクロスサイトスクリプティング(XSS)攻撃を防ぐ
ことが可能です。
同ヘッダはIE 以外のブラウザでも実装されており、スクリプトやスタイルをインポートする際のコン
テントタイプ推測を制御するために利用されます。
レスポンスがJSON 形式データの場合、同ヘッダはレスポンスデータを不正に奪取するJSONP インジ
ェクション攻撃に対して有効です。・X-Frame-Options
FRAME 又はIFRAME タグなどによるフレームの中でのページ読込み動作を制御するレスポンスヘッ
ダです。
同ヘッダが設定されていないレスポンスは、無制限にページ読込みを許可しています。
攻撃者は、制限のないページ読込みを悪用し、クリックジャック攻撃(※)を仕掛けてくるおそれがあり
ます。
※クリックジャック攻撃
攻撃者は、スタイルシートを駆使しフレーム読込みしたページ(本来のページ)を覆い隠す擬似ペー
ジを作成します。
被害者が騙されてこの擬似ページの処理を完了させるだけで、本来のページの処理も被害者の気づか
ないうちに完了させる攻撃です。・Cache-Control
ブラウザやプロキシ等のキャッシュ動作を制御するレスポンスヘッダです。
同ヘッダにno-store ディレクティブが設定されていない場合、プロキシ等にてレスポンスをキャッシ
ュされ、再利用される可能性があります。
機密情報が含まれている場合は情報の漏洩につながる可能性があります。検出箇所
・Strict-Transport-Security
ホスト
c.ecomic-app.com・X-Content-Type-Options
ホスト
c.ecomic-app.com・X-Frame-Options
ホスト
c.ecomic-app.com・Cache-Control
ホスト
c.ecomic-app.com回答・対応内容
Apacheのhttpd.confに下記を設定する。
・Strict-Transport-Security
---
Header always set Strict-Transport-Security "max-age=63072000"
---
・X-Content-Type-Options
---
Header always append X-Content-Type-Options "nosniff"
---
・X-Frame-Options
---
Header always append X-FRAME-OPTIONS "DENY"
---
・Cache-Control
---
FileEtag None
RequestHeader unset If-Modified-Since
Header set Cache-Control no-store
---
→対応後の確認結果を添付
---------------
対応確認いたしました。
履歴
#10 匿名ユーザー が4年以上前に更新
- ファイル を削除 (
対応後確認_指摘事項 #165 [脆弱性診断]設定推奨ヘッダの未設定.xlsx) - ファイル 対応後確認_指摘事項 #165 [脆弱性診断]設定推奨ヘッダの未設定.xlsx 対応後確認_指摘事項 #165 [脆弱性診断]設定推奨ヘッダの未設定.xlsx を追加