パッシブスキャンルール - Beta
全般設定
信頼済みドメイン
オプションの「ルール設定」パネルから rules.domains.trusted パラメーターを使用して、カンマ区切りのURL正規表現パターンリストを指定できます。
これらのパターンに一致するリンクURLは信頼済みドメインと見なされ、アラートの対象外となります。
以下のルールが 信頼済みドメイン 機能をサポートしています:
以下のベータステータスのパッシブスキャンルールがこのアドオンに含まれています:
コンテンツのキャッシュ適性
このスキャンルールは、HTTPトラフィック内の Cache-Control ヘッダーと Pragma ヘッダーを分析し、RFC7234に基づいてリクエストのキャッシュ適性を報告します。
生成されるアラート:
- 保存不可能なコンテンツ
- 保存可能だがキャッシュ不可なコンテンツ
- 保存可能でキャッシュ可能なコンテンツ
最新のコード: CacheableScanRule.java
アラートID: 10049
危険なJavaScript関数
このスキャンルールは、サイトのレスポンスに存在する危険なJavaScript関数をチェックします。
注意: カスタムペイロードアドオンがインストールされている場合、カスタムペイロードのオプションパネルで独自の関数名 (ペイロード) を追加できます。
これらもパッシブスキャン実行時にレスポンス内で検索されます。 ペイロードの数が多いほど、パッシブスキャンに必要な時間が長くなることに注意してください。
このルールのカスタムペイロードカテゴリ: JS-Function
注: $ は文字列/ペイロードの先頭から削除され、パターン組み立て時にオプションで含められます。
最新のコード: JsFunctionScanRule.java
アラートID: 10110
ページ内バナー情報漏洩
レスポンスボディのコンテンツを分析し、(レスポンスがエラーステータスコードの場合に) Webサーバーまたはアプリケーションサーバーのバナーの存在を検出します。
しきい値が Low の場合、ステータス 200 - OK のレスポンスも分析されます。
このようなバナーの存在は、既知の脆弱性に対するより標的を絞った攻撃を容易にする可能性があります。
最新のコード: InPageBannerInfoLeakScanRule.java
アラートID: 10009
Javaシリアライゼーションオブジェクト
Javaシリアライゼーションオブジェクト (JSO) は、Javaアプリケーション間でオブジェクトを保存および交換する方法です。
JSOには複数のセキュリティ上の問題があります。 機密データがバイトストリームに漏洩する可能性があり、攻撃者はデータを改変してJSOを悪用し、サーバー上でリモートコード実行を行うこともできます。
JSOはJavaプログラムで使用すべきではありません。 シリアライズされたデータには厳格な制御が必要です。
JSOは、OWASP Top 10の「A8:2017-安全でないデシリアライゼーション」に関連する脆弱性の一種です。
最新のコード:
JsoScanRule.java<1>
アラートID: 90002
Permissions-Policy ヘッダー未設定
このルールは、(HTMLおよびJavaScriptレスポンスの) HTTPレスポンスヘッダーに「Permissions-Policy」ヘッダーが含まれているかをチェックし、 見つからない場合にアラートを発生させます。 また、非推奨のヘッダー「Feature-Policy」が見つかった場合もアラートを発生させます。
リダイレクトは、しきい値が Low の場合を除いて無視されます。
最新のコード: PermissionsPolicyScanRule.java
アラートID: 10063
サイト分離スキャンルール
Spectreは、攻撃者がメモリからデータを読み取ることを可能にするサイドチャネル攻撃です。 対策の1つは、機密データが メモリに入るのを防ぎ、信頼されたドキュメントと信頼されていないドキュメントを 異なるブラウジングコンテキストで分離することです。 これを実現するために3つのヘッダーが定義されています:
- Cross-Origin-Resource-Policy
- Cross-Origin-Embedder-Policy
- Cross-Origin-Opener-Policy
Cross-Origin-Embedder-Policy (COEP) ヘッダーは ドキュメントが読み込まれることを明示的に許可していない すべての非同一オリジンリソースを、ドキュメントが読み込むことを防ぎます。
(出典:
COOP and COEP explained).
Cross-Origin-Resource-Policy (CORP) ヘッダーを使用すると、 リソースを含めることが許可されるオリジンのセットを制御できます。 これは、Spectre のような攻撃に対する堅牢な防御であり、 ブラウザが攻撃者のプロセスに入る前に特定のレスポンスをブロックすることを可能にします。
例えば、攻撃者のサイトは、内部コンテンツへの src 属性を持つ image タグを含めることができます。 ブラウザはデータを読み込みます。 サイドチャネル攻撃により、攻撃者はそれを読み取ることができます。
Cross-Origin-Opener-Policy (COOP) ヘッダーは、ブラウザに複数のブラウジングコンテキストを作成させ、 信頼されたドキュメントと信頼されていないドキュメントを分離します。
サイト分離は、ブラウザが独立して管理するメカニズムである Cross-Origin-Resource-Blocking と補完関係にあります。
生成されるアラート:
- Cross-Origin-Resource-Policy ヘッダーの欠落または無効
- Cross-Origin-Embedder-Policy ヘッダーの欠落または無効
- Cross-Origin-Opener-Policy ヘッダーの欠落または無効
最新のコード: SiteIsolationScanRule.java
アラートID: 90004
サーブレットパラメーター汚染
action 要素の指定に失敗したHTMLフォームをレスポンスコンテンツ内で検索します。 Java Servlet仕様のバージョン3では、 クエリ文字列とPOSTデータ要素の集約が求められており、これによりユーザー制御データの意図しない処理が発生する可能性があります。 これは他のフレームワークやテクノロジーにも影響を与える可能性があります。
注: このスキャンルールは、しきい値が LOW かつ Tech JSP/Servlet が適用可能なコンテキストURL内のレスポンスのみを分析します。
最新のコード: ServletParameterPollutionScanRule.java
アラートID: 10026
ソースコードの露見
アプリケーションのソースコードがWebサーバーによって露見しました。
注意: CSS、JavaScript、画像、フォントファイル、およびISO制御文字を含むレスポンス (バイナリファイルの可能性が高いもの) は無視されます。
最新のコード: SourceCodeDisclosureScanRule.java
アラートID: 10099
サブリソース整合性属性の欠落
このルールは、外部リソース (例: CDN) から提供される script 要素または link 要素に integrity 属性が欠落しているかをチェックします。
これは、CDNが侵害され、コンテンツが悪意のあるコンテンツに置き換えられた場合の攻撃を軽減するのに役立ちます。
注: サイトツリー内のスクリプトに解決できる場合、推奨される整合性ハッシュ値が関連するアラートの「その他の情報」詳細に表示されます。
このルールは信頼済みドメインをサポートしています。詳細については「全般設定」を確認してください。
最新のコード: SubResourceIntegrityAttributeScanRule.java
アラートID: 90003