1.検出された脆弱性の内容と検出されたエンドポイントを確認してください
2.フィードバックタグ内の詳細の説明内に記載している、送信された「診断用リクエストのパラメータ値」を確認してください
補足として、脆弱性によっては本パラメータの記載がないものもございますので、ご了承ください
3.リクエスト/レスポンスタブに遷移し、リクエストのフィールドをご確認ください
具体的にどのようなパラメータに対して、診断用の値が設定されてリクエストされているかご確認ください
4.次にレスポンスのフィールドをご確認ください
- 脆弱性の検知ロジックは様々ありますが、例えば、HTTPステータスコードが500系かつエラーに関する文字列が含まれている場合に検出するといった内容があります
- 該当のレスポンス内でアプリケーションの仕様と比較して正常なレスポンスかそうではないかご確認ください
- 脆弱性ではないが、たまたま検知ロジックに引っかかるようなレスポンスが返却されている可能性があります
- 例えば、ステータスコードが400だったら検知すると言う検出ロジックがある場合、脆弱性が存在していてもしていなくても、特定のケースの場合(パラメータのバリデーションの結果でNGの場合など)で400を返すAPIがあれば、脆弱性ありと検出されます
- レスポンスとしては正常なレスポンスが返却されているが脆弱性として検出されている場合、たまたま検知ロジックに引っかかってしまった可能性があるため、フィードバックの修正方法に記載されている内容やIPAの「安全なWebサイトの作り方(https://www.ipa.go.jp/security/vuln/websecurity/about.html)」に記載されている対応内容に実装が沿っているかどうかご確認ください
5.脆弱性の再現の確認
脆弱性の再現の確認としては、リクエスト/レスポンスタブのリクエストのフィールドに記載されているリクエストを診断対象のアプリケーションに送信していただくことで再現性を確認することができます(※認証ヘッダ等の可変となるパラメータ値は変更いただく必要がございます)
- 正しい対策をしているが脆弱性として検知された場合は偽陽性の可能性がございます
- 貴社内で判断がつかない場合は、「トリアージオプション」を追加いただくことで、セキュリティエンジニアによる偽陽性の確認が可能です