Hello there, ('ω')ノ

 

脆弱性診断ともなると以外と経費がかかるもので。

ただ、依頼はしたものの報告される脆弱性が軽微なものが多かったりと。

真面目にすべてを改修しようとすると時間も経費もかかったり。

診断企業に依頼する際には、対象外の脆弱性を示すことひとつの策だったり。

たとえば、報告するのに十分なほど重大でない脆弱性を対象外としたり。

 

対象外の脆弱性（例）

・プログラムが所有／運営していないコンテンツ／サービスのバグ

・サポートされていないブラウザのユーザに影響を与える脆弱性

・範囲外のドメインのサブドメインの乗っ取り

・ありえない量のユーザインタラクションを必要とするSelf-XSS、またはXSSバグ

・匿名ユーザが利用できるフォームのCSRF

・静的ページでのユーザーインターフェイスのクリックジャッキング

・エラーメッセージ

・HTTP404コード／ページ、またはその他のHTTP非200コード／ページ

・フィンガープリントバナーの開示、公開情報の開示

・既知の公開ファイルまたはディレクトリの開示

・スクリプト、またはその他の自動化と意図された機能のブルートフォーシング

・「オートコンプリート」または「パスワードの保存」機能の存在

・安全なHttpOnlyCookieフラグの欠如

・HTTPS混合コンテンツ

・HTTPセキュリティヘッダーがありません

　　Strict-Transport-Security

　　X-Frame-Options

　　X-XSS-Protection

　　X-Content-Type-Options

　　Content-Security-Policy

 

Best regards, (^^ゞ