脆弱性診断で指摘を受けたのでどうすればいいか教えてください

脆弱性があると判定された場合には、弊社サポートまでご連絡を頂ければ速やかに調査・対応をいたします。

ただし、指摘事項によっては対応の必要がないとの判断になるものもありますのでご了承ください。
また、ソフトウェアなどでの自動診断は誤診断が発生しやすいものもありますので、診断結果を再確認していただいてからのご連絡をお願いいたします。

対応不要な事項について

以下項目は対応不要となります。

対応する予定のない指摘事項

• HTTPレスポンスステータスが300番台等で、X-Content-Type-Options等のヘッダが付与されていない。

CMSという仕組みの特性上対応が難しい指摘事項

• 管理画面で、X-XSS-Protectionが付与されていない。理由としては、更新画面で更新などの挙動をエラー判定されることが多いためになります。

利便性やセキュリティの考え方との兼ね合いで対応をしていない指摘事項

• パスワードリマインダーでのメールアドレスの存在のあり・なし表示（回数制限は実装）
• 会員登録時でメールアドレスの存在のあり・なし表示（回数制限は実装・メールのみを入力して返信メールから会員登録する機能などを利用して回避可能）
• パスワードの定期的変更の強制（管理画面で設定は可能）
• CookieのSameSite属性がStrictではない。管理画面のCookieはStrictになっているが、APIの場合はNoneになります。

対応予定のないもの

• 指摘事項内でINFO(情報)などのように脆弱性ではない指摘事項のもの。ただし、ご提示いただいて対応をする場合もあります。

Kurocoで対応対象外のもの

• フロントエンド実装やAPI・管理画面での設定漏れなどによる脆弱性。指摘事項の解決策はサポートに連絡いただければ解決に向けてのサポートはいたします。

関連するページ

• セキュリティ
• 脆弱性検査のエビデンスを提供してもらうことはできますか？