窓口でのサポートについて
ヘテムル ネットde診断の検知内容に関するご質問はサポート外となっており、具体的な対策方法は回答はできかねます。
主な診断項目
ヘテムル ネットde診断で検知される項目のうち、主なものを以下にご案内します。
更に詳しい情報をお調べになりたい場合は、診断結果通知メールに記載のリンクより『ヘテムル ネットde診断 AIチャット窓口』にアクセスのうえでご質問ください。
なお、検知される項目の一部で、共用サーバーの特性によりお客様で対応ができない内容が含まれています。詳細はヘテムル ネットde診断の検知項目で解決できない項目についてをご確認ください。
バージョン情報の検出(x-powered-by)
概要 | 診断対象において、"x-powered-by" HTTPヘッダーを通じて、Webサーバーや使用しているプログラミング言語などの詳細なバージョン情報が検出されました。 この情報は攻撃者にとって有用な情報となり、既知の脆弱性に基づく攻撃の対象となる可能性があります。 |
---|---|
影響内容例 |
バージョン情報をもとに、既知の脆弱性による攻撃を受ける可能性があります。 |
対策例 |
.htaccessファイルの設定によりバージョン情報の秘匿化を推奨します。 |
ディレクトリリスティングの可能性
概要 | 診断対象の Web サーバーでは、ディレクトリリスティング機能が有効であり、対象のURLにアクセスした際に、ファイルの一覧情報を取得できる可能性があります。 一覧にはディレクトリ内の全てのファイルが含まれているため、公開を想定していないファイルが表示されている可能性があります。 公開を想定していない情報の漏洩により攻撃者に有用な情報の提供や、セキュリティに対する対策が低いと判断され攻撃を誘発する可能性があります。 |
---|---|
影響内容例 |
この状況により、公開を想定していない情報が漏洩する可能性があります。 |
対策例 |
設置されている.htaccessファイルでディレクトリリスティングが有効にされていないかご確認ください。 |
平文通信(HTTP) での Basic / Digest 認証
概要 | 平文通信(HTTP)での Basic または Digest 認証が検出されました。 Basic 認証ではユーザ名とパスワードが Base64 でエンコードされ Web サーバに送信されます。 そのため、通信が盗聴された場合ユーザ名とパスワードが漏洩する可能性があります。 Digest 認証ではパスワードがハッシュ化されるため Basic 認証よりは安全ですが、完全に安全ではありません。 |
---|---|
影響内容例 |
暗号化されない HTTP の通信経路上で通信を傍受された場合、Basic 認証のユーザ名とパスワードが漏洩する可能性があります。 |
対策例 |
通信の傍受を防ぐ対策として、「http」からのアクセスを強制的に「https」へ書き換えるURL正規化の対応をお勧めします。 |
セキュリティヘッダ "HTTP Strict Transport Security (HSTS)" の未設定
概要 | 診断対象のWebサーバからのレスポンスヘッダにおいて"HTTP Strict Transport Security (HSTS)"が未設定です。 HTTP Strict Transport Security(HSTS)は通信の際に常に有効で安全な接続を利用するよう、設定をブラウザに対して行うヘッダです。 サーバのTLS証明書が信頼されない場合、ブラウザはアプリケーションとの接続を行わなくなります。 |
---|---|
影響内容例 |
Webサイトが中間者攻撃やセッションハイジャッキングなどの攻撃に対して脆弱である可能性があります。 |
対策例 |
PHP モジュール版をご利用の場合、.htaccessを使用したHSTS(HTTP Strict Transport Security)の設定が、中間者攻撃への対策として有効です。 ※PHP CGI版をご利用の場合はご自身でプログラムを編集してHSTSを設定ください |
セキュリティヘッダ "X-Frame-Options" の未設定もしくは設定の不備
概要 |
この項目が検知されるサイトでは、X-Frame-Optionsレスポンスヘッダーが設定されていない、または設定に不備があることが原因で、外部ページからiframeを使用して不正操作をさせるクリックジャック攻撃に脆弱な状態です。 |
---|---|
影響内容例 |
このヘッダはiframeやframe, embed, object内でサイトがどのようにフレーム化されるかをサイトが制御できるようにするHTTPヘッダであり、適切に設定することでクリックジャッキング攻撃の防止に効果があります。 |
対策例 |
外部のページからiframeで表示させる予定のないページについては、 .htaccessによる当該機能の設定を検討してください。 |
セキュリティヘッダ "X-Content-Type-Options" の未設定
概要 |
診断対象のページでレスポンスヘッダにX-Content-Type-Optionsが未設定でした。 |
---|---|
影響内容例 |
MIME タイプスニッフィング攻撃に対して脆弱である可能性があります。 |
対策例 | .htaccessによる当該機能の設定を推奨します。 |
HTTPヘッダ "Set-Cookie" の設定不備
概要 |
診断対象のWebサーバからのレスポンスヘッダに含まれる "Set-Cookie" の値に{Cookieの有効期限, |Httponly属性, |Secure属性}が適切に設定されていません。 |
---|---|
影響内容例 |
Secure属性が設定されていない場合、暗号化されていない経路上でCookieに含まれるセッションキーやログイン情報等の機密情報が盗聴される恐れがあります。 |
対策例 |
必要に応じて、当該機能の設定を検討してください。 |
デバッグもしくはエラーメッセージによる情報推測の可能性
概要 |
デバッグもしくはエラーメッセージからシステムの構成情報等を推測できる可能性があります。 |
---|---|
影響内容例 |
攻撃者は取得した情報を基に既知の脆弱性があるか調査し、脆弱性を狙った攻撃を行います。 |
対策例 |
デバッグもしくはエラーメッセージの出力を無効にすることを推奨します。 |
秘密情報を含む可能性のあるURL
概要 |
診断対象において機密情報等を送信している可能性のある機能があります。リクエストラインはプロキシのログや Web サーバのログなどに残るため、第三者に機密情報が漏洩する可能性があります。 |
---|---|
影響内容例 |
漏洩した機密情報を元に更なる攻撃に繋がる可能性があります。 |
対策例 |
重要情報を送信する場合はリクエストボディの利用を推奨します。 |
秘密情報を含む可能性のあるリファラヘッダ
概要 |
診断対象において、HTTPリクエストのReferrerヘッダ内に機密情報等を含んだまま別ドメインにアクセスを行う可能性のある機能があります。 |
---|---|
影響内容例 |
漏洩した機密情報を元に更なる攻撃に繋がる可能性があります。 |
対策例 |
サイトの構成やリファラーの利用目的にもよりますが、HTTP リクエストの Referrer ヘッダに機密情報を含まないような実装を推奨します。 |
Cookie ポイズニングの可能性
概要 |
ユーザの入力値によって Cookie の値を制御できる可能性があります。 |
---|---|
影響内容例 |
セッション固定攻撃に利用される、また Cookie Bomb等の攻撃に発展する可能性があります。 |
対策例 |
ユーザ入力によって Cookie の名前や値を制御することを許可しない実装(区切り文字に相当するセミコロンを除外する等)を推奨します。 |
タブナビングの可能性
概要 |
診断対象サイトはタブナビングの脆弱性を含んでいる可能性があります。 タブナビングとは、ウェブサイト上でユーザーが外部リンクをクリックして新しいタブやウィンドウでページを開いた際に、元のページ(リンク元ページ)が悪意のあるスクリプトによって書き換えられるセキュリティリスクです。 |
---|---|
影響内容例 | リンク先のページから window.opener オブジェクトを介してリンク元ページの情報を参照したり、リンク元ページの URL 書き換えられることでフィッシングサイトへ誘導される可能性があります。 |
対策例 | noopener noreferrer の設定を推奨します。 |
詳細なエラーメッセージの可能性
概要 |
診断対象の Web アプリケーションにおいて、アプリケーションに関する詳細なエラーメッセージの可能性があるが表示されています。 |
---|---|
影響内容例 |
エラーメッセージにはプログラム内の変数名などシステムの内部情報が含まれている可能性があるため、様々なエラーを発生させることでシステムに存在する問題を推測される恐れがあります。 |
対策例 |
エラーページの実装、またはphp.iniの設定によるエラーメッセージの非表示化を推奨します。 |
HTTP ヘッダ: x-powered-byによるミドルウェア・フレームワーク名の開示
概要 |
診断対象であるWebサーバからのレスポンスヘッダに "x-powered-by" にてミドルウェア・フレームワーク名が開示されていることを確認しました。 |
---|---|
影響内容例 |
フレームワーク名の開示は、攻撃者に有用な情報となる可能性があります。 |
対策例 |
意図せずに表示されている場合は、 x-powered-by ヘッダの削除を推奨します。 |
オープンリダイレクトの可能性
概要 |
パラメータの入力値がリダイレクト先のURLを指定する箇所に出力されるため、本機能を外部サイトへのリダイレクタとして利用できる可能性があります。 |
---|---|
影響内容例 |
当該機能を介してユーザが悪意のあるサイトに遷移させられることにより、フィッシング詐欺などに悪用される可能性があります。 |
対策例 |
アクセス者がパラメータを経由してリダイレクト先を指定できないようにすることを推奨します。 |