指摘事項 #165
匿名ユーザー が4年以上前に更新
危険度
低
解説
Strict-Transport-Security、X-Content-Type-Options、X-Frame-Options、Cache-Control の各ヘッ
ダが適切に設定されていないことを確認しました。
・Strict-Transport-Security
ブラウザに暗号化通信(HTTPS)を用いて通信を行うよう指示するレスポンスヘッダです。
同ヘッダが有効になっている場合、ブラウザ内部で非暗号化通信(http://~)を暗号化通信(https://~)
に変換して送信するため、ネットワーク上に平文の通信内容を送信されることがなくなります。
ただし、初回アクセス時に非暗号化通信(http://~)でアクセスした場合、ヘッダ設定前であるため、通
信は保護されないことに注意してください。
・X-Content-Type-Options
Internet Explorer(IE) 8 以降に対して、HTTP レスポンスボディからのコンテントタイプ推測の禁止を
指示するレスポンスヘッダです。
これにより、IE におけるコンテントタイプ推測によるクロスサイトスクリプティング(XSS)攻撃を防ぐ
ことが可能です。
同ヘッダはIE 以外のブラウザでも実装されており、スクリプトやスタイルをインポートする際のコン
テントタイプ推測を制御するために利用されます。
レスポンスがJSON 形式データの場合、同ヘッダはレスポンスデータを不正に奪取するJSONP インジ
ェクション攻撃に対して有効です。
・X-Frame-Options
FRAME 又はIFRAME タグなどによるフレームの中でのページ読込み動作を制御するレスポンスヘッ
ダです。
同ヘッダが設定されていないレスポンスは、無制限にページ読込みを許可しています。
攻撃者は、制限のないページ読込みを悪用し、クリックジャック攻撃(※)を仕掛けてくるおそれがあり
ます。
※クリックジャック攻撃
攻撃者は、スタイルシートを駆使しフレーム読込みしたページ(本来のページ)を覆い隠す擬似ペー
ジを作成します。
被害者が騙されてこの擬似ページの処理を完了させるだけで、本来のページの処理も被害者の気づか
ないうちに完了させる攻撃です。
・Cache-Control
ブラウザやプロキシ等のキャッシュ動作を制御するレスポンスヘッダです。
同ヘッダにno-store ディレクティブが設定されていない場合、プロキシ等にてレスポンスをキャッシ
ュされ、再利用される可能性があります。
機密情報が含まれている場合は情報の漏洩につながる可能性があります。
検出箇所
・Strict-Transport-Security
ホスト
c.ecomic-app.com
・X-Content-Type-Options
ホスト
c.ecomic-app.com
・X-Frame-Options
ホスト
c.ecomic-app.com
・Cache-Control
ホスト
c.ecomic-app.com
低
解説
Strict-Transport-Security、X-Content-Type-Options、X-Frame-Options、Cache-Control の各ヘッ
ダが適切に設定されていないことを確認しました。
・Strict-Transport-Security
ブラウザに暗号化通信(HTTPS)を用いて通信を行うよう指示するレスポンスヘッダです。
同ヘッダが有効になっている場合、ブラウザ内部で非暗号化通信(http://~)を暗号化通信(https://~)
に変換して送信するため、ネットワーク上に平文の通信内容を送信されることがなくなります。
ただし、初回アクセス時に非暗号化通信(http://~)でアクセスした場合、ヘッダ設定前であるため、通
信は保護されないことに注意してください。
・X-Content-Type-Options
Internet Explorer(IE) 8 以降に対して、HTTP レスポンスボディからのコンテントタイプ推測の禁止を
指示するレスポンスヘッダです。
これにより、IE におけるコンテントタイプ推測によるクロスサイトスクリプティング(XSS)攻撃を防ぐ
ことが可能です。
同ヘッダはIE 以外のブラウザでも実装されており、スクリプトやスタイルをインポートする際のコン
テントタイプ推測を制御するために利用されます。
レスポンスがJSON 形式データの場合、同ヘッダはレスポンスデータを不正に奪取するJSONP インジ
ェクション攻撃に対して有効です。
・X-Frame-Options
FRAME 又はIFRAME タグなどによるフレームの中でのページ読込み動作を制御するレスポンスヘッ
ダです。
同ヘッダが設定されていないレスポンスは、無制限にページ読込みを許可しています。
攻撃者は、制限のないページ読込みを悪用し、クリックジャック攻撃(※)を仕掛けてくるおそれがあり
ます。
※クリックジャック攻撃
攻撃者は、スタイルシートを駆使しフレーム読込みしたページ(本来のページ)を覆い隠す擬似ペー
ジを作成します。
被害者が騙されてこの擬似ページの処理を完了させるだけで、本来のページの処理も被害者の気づか
ないうちに完了させる攻撃です。
・Cache-Control
ブラウザやプロキシ等のキャッシュ動作を制御するレスポンスヘッダです。
同ヘッダにno-store ディレクティブが設定されていない場合、プロキシ等にてレスポンスをキャッシ
ュされ、再利用される可能性があります。
機密情報が含まれている場合は情報の漏洩につながる可能性があります。
検出箇所
・Strict-Transport-Security
ホスト
c.ecomic-app.com
・X-Content-Type-Options
ホスト
c.ecomic-app.com
・X-Frame-Options
ホスト
c.ecomic-app.com
・Cache-Control
ホスト
c.ecomic-app.com