Hello there, ('ω')ノ
脆弱性診断ともなると以外と経費がかかるもので。
ただ、依頼はしたものの報告される脆弱性が軽微なものが多かったりと。
真面目にすべてを改修しようとすると時間も経費もかかったり。
診断企業に依頼する際には、対象外の脆弱性を示すことひとつの策だったり。
たとえば、報告するのに十分なほど重大でない脆弱性を対象外としたり。
対象外の脆弱性(例)
・プログラムが所有/運営していないコンテンツ/サービスのバグ
・サポートされていないブラウザのユーザに影響を与える脆弱性
・範囲外のドメインのサブドメインの乗っ取り
・ありえない量のユーザインタラクションを必要とするSelf-XSS、またはXSSバグ
・匿名ユーザが利用できるフォームのCSRF
・静的ページでのユーザーインターフェイスのクリックジャッキング
・エラーメッセージ
・HTTP404コード/ページ、またはその他のHTTP非200コード/ページ
・フィンガープリントバナーの開示、公開情報の開示
・既知の公開ファイルまたはディレクトリの開示
・スクリプト、またはその他の自動化と意図された機能のブルートフォーシング
・「オートコンプリート」または「パスワードの保存」機能の存在
・安全なHttpOnlyCookieフラグの欠如
・HTTPS混合コンテンツ
・HTTPセキュリティヘッダーがありません
Strict-Transport-Security
X-Frame-Options
X-XSS-Protection
X-Content-Type-Options
Content-Security-Policy
Best regards, (^^ゞ