white paper 公開ウェブサイトに安心感を! 脆弱性診断のス …...white paper :...
Post on 04-Sep-2020
4 Views
Preview:
TRANSCRIPT
WH
ITE PA
PER
:
powered by Symantec
White Paper
公開ウェブサイトに安心感を!脆弱性診断のススメ
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
2
Copyright Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、(明示、黙示、または法律によるものを問わず)いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる(直接または間接の)損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、またはサービス ・ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ・ マークの所有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。
合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます。
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
3
Contents
93%のウェブサイトが何らかの脆弱性を抱えている 4
現場ではウェブサイト脆弱性対策が二の次になっている 5
ウェブサイト脆弱性がもたらす実ビジネスへの影響 5
ウェブサイトの健康診断 「ウェブ脆弱性診断サービス」とは? 6
シマンテックSSLサーバ証明書の「ウェブ脆弱性診断サービス」 71.脆弱性アセスメント(ツール診断) 7
2.セキュリティ診断サービス(マニュアル診断+ツール診断) 11
重大な脆弱性が見つかった場合、どう対処すればよいか? 12
まとめ 12
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
4
93%のウェブサイトが何らかの脆弱性を抱えている
近年、企業のウェブサイトがサイバー攻撃などによって、情報を漏えいしてしまう事件が頻発しています。例えば 2011 年 4 月には、日本の大手エレクトロニクスメーカーが提供するウェブサイトに対してサイバー攻撃がしかけられ、ユーザの個人情報が流出し、大きな事件となったのは記憶に新しいところです。このようなウェブサイトからの情報漏えいや改ざんは、毎月のように報道されています。これらの事件の多くは、ウェブアプリケーションの脆弱性を狙われることで起こっています。
ウェブアプリケーション診断の統計では、実に 93% のウェブサイトが何らかの脆弱性を抱えており、約 30%のウェブサイトで危険度の高い脆弱性が検出されております。ウェブアプリケーションの脆弱性は、ウェブサイトの開発・運営には常につきまとう、身近な問題となっています。
シマンテックではインターネットの黎明期から、ウェブサイト運営者に対して、SSL サーバ証明書による盗聴を防ぐ「通信の暗号化」、偽サイトを見分ける「ウェブサイト運営者の実在性認証」を提供してきました。近年のウェブサイトに対するサイバー攻撃は非常に高度化しており、SSL サーバ証明書では防ぐことのできない攻撃が増えてきております。代表的な攻撃手法として「SQL インジェクション」があります。これはウェブアプリケーションに SQL 文を直接入力し、開発者が意図していない動作をウェブアプリケーションに行わせるというものです。これにより、ユーザ認証をすり抜けたり、権限がなくてもデータベース内のデータを窃取したりすることが可能になります。
SQL インジェクションの他にも、クロスサイトスクリプティング(XSS)、コマンドインジェクション、クロスサイトリクエストフォージェリ(CSRF)など、対策を行わなければならない脆弱性はこれら以外にも数十種類にのぼります。ウェブサイトを安全に運営し続けるためには、最新情報の収集と対策方法を常に見直し続ける必要がありますが、ウェブサイト運営者にとっては大きな負担になります。
一方、Apache等のプラットフォームを狙ったDoS攻撃が、インターネットから入手可能な攻撃ツールによって比較的簡単に行われています。2011年8月に公表された「Apache Killer」によるDoS攻撃、2011年12月に公開された「Hash DoS」と呼ばれるDoS攻撃など、ウェブサイトを運営する企業は常に最新のセキュリティ情報を入手し、サーバのパッチ適用やネットワーク変更等の対策を行う必要があります。
ウェブアプリケーションに対して昨年 1 年間に 45 万回以上の攻撃の内、最も攻撃回数が多かったのは SQL インジェクションでした。次いで、不正なコンテンツのスキャン、コマンドインジェクション、パスワードが保存されている「/etc/passwd」への攻撃、開発者が意図していないパスを参照する「パスの乗り換え」(パストラバーサル)などが続いています。
危険度[高]を複数検出
20%
30%
30%
33%
7% 10%危険度[高]を検出
危険度[中]を検出
危険度[低]を検出
危険度の検出なし
実に、93%のウェブサイトが何らかの脆弱性を抱えている。特に危険度[高]のサイトは、全体の30%も存在している。
ウェブサイトの脆弱性
図1:ウェブアプリケーション診断の結果(2011年セキュアスカイ・テクノロジー社調べ)
図2:WAFを導入した約200サイトのウェブアプリケーションに対する攻撃回数(2011年セキュアスカイ・テクノロジー社調べ)
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
5
現場ではウェブサイト脆弱性対策が二の次になっている
脆弱性を作らないためにはウェブアプリケーションの設計/実装/テストの各フェーズにおいてセキュリティを考慮する必要があります。ただ、短納期、低予算で進められることが多いウェブアプリケーション開発の現状を考えると、セキュリティに配慮した開発が後回しになってしまうことが少なくはありません。ウェブアプリケーションの脆弱性対策については、独立行政法人情報処理推進機構(IPA)が公開している「安全なウェブサイトの作り方」に詳しく紹介されており、これに従って開発やテストを行うことが推奨されています。
要件定義 設計 実装 テスト 運用
実施すべき内容
問題点
セキュリティを考慮した設計
セキュアコーディング 脆弱性診断
WAF定期診断
セキュリティの専門知識を持った人間がいないケースが多く、セキュリティを考慮した設計が困難
外注への依頼が多いため、開発者のスキルにバラつきがあり、セキュアなコーディングに漏れが発生するケースが多い
脆弱性診断は、期間もコストもかかる為、結局実施されないケースも多い
日々のセキュリティ情報を入手し、パッチ適用やチューニングを実施する必要がある
(ウェブアプリ、ネットワーク)
図 3:ウェブサイト構築時のセキュリティ考慮ポイントと問題点
また、脆弱性が発覚したあとの改修に長い時間がかかることも問題の 1 つです。IPA の調査によれば、脆弱性の修正に 31 日以上の日数を要した届けでは、全体の 48% にのぼります(下図の赤枠部分)。この傾向は年々増加しております。既にサービスを提供している場合、脆弱性を放置したままの運用はリスクが高いことを考えると、サイバー攻撃を受けた場合の影響は非常に大きいと考えられます。
90日以内修正完了2010年
2011年
2012年
91日以上修正完了
未修正
48%
0% 20% 40% 60% 80% 100%
67%
64%
52% 4% 44%
13% 23%
20% 13%
脆弱性の修正までに要した日数の割合(年別)
図 4: IPA ソフトウェア等の脆弱性関連情報に関する届出状況 [2012 年第 2 四半期(4 月~ 6 月)http://www.ipa.go.jp/about/press/pdf/120723_2press2.pdf
ウェブサイト脆弱性がもたらす実ビジネスへの影響
ウェブサイトの脆弱性対策を怠ると、顧客情報の漏洩などの直接的な被害のほか、損害賠償金の支払い、ブランド毀損や風評被害など経営に係る被害も想定されます。下表は、一般的な企業が情報漏えい事件を起こした場合の想定被害のシミュレーションです。
項目 想定被害額 出典
(a) 損害賠償額 7500万円 JNSA 「情報セキュリティインシデントに関する調査報告書」
(b) 調査費用、セキュリティ再構築費用 5000万円~1億円 IPA 「企業における情報セキュリティ事象被害額調査」
(c) ブランド毀損、風評被害、 イメージ低下 売上の5%~40% 過去の事例より
表 1:情報漏えい事件の事後対策費用、ビジネスインパクト
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
6
一旦、情報漏えい事件が発生すると、「(a)ユーザへの損害賠償金」と「(b)調査費用、セキュリティ再構築費用」の合計 1 ~ 2 億円の事後対策費用が必要となります。この額は、ウェブサイトのユーザ数や企業規模にも左右されますが、実際は年商 2 億円の企業でも、1 億円以上の事後対策費用を支払ったケースもあります。もちろん、この他にも「(c) ブランド毀損、風評被害、イメージ低下」による企業経営に対するマイナスインパクトが発生します。
ウェブサイト運営者にとっては、セキュリティに対して、「事前対策」と「事後対策」のどちらの対策をすべきか、見なおす必要があります。ウェブサイトの特性やユーザ情報の価値を正しく見極め、情報漏えい時のコストインパクトを適切に予測したうえで、対策にかかわる費用と比較検討することが重要です。
ウェブサイトの健康診断 「ウェブ脆弱性診断サービス」とは?
ウェブ脆弱性診断サービスとは、ウェブアプリケーションが稼働しているウェブサイトの安全性を調査することで、脆弱性の有無やそのリスクを判断してくれるサービスです。サービスを利用する主な目的は、脆弱性を発見してセキュリティリスクを可能な限り軽減することです。また、第三者から診断を受けたという証拠(エビデンス)を残し、ユーザに安全性をアピールすることも可能ですし、開発者のスキルアップを目指す企業もあります。
現状では、ウェブアプリケーションの脆弱性診断を行なっていないケースが多く見受けられます。脆弱性診断を行わない理由には、「数十万円~数百万円の費用がかかる」、「人的リソースが確保できない」、「知識不足」という理由が挙げられております。特に、大企業と比較して中小企業では、被害経験が少ないため脆弱性対策の必要性を強く感じていないという声があります。しかし、昨今のウェブサイトに対するサイバー攻撃への対策は、人間が健康診断を行うように、定期的に脆弱性がないかどうかをチェックすることが重要です。
ウェブ脆弱性診断サービスには、主に「ツールによる診断」と「マニュアルによる診断」の 2 パターンがあります。
ツール診断は、複数の攻撃パターンを短期間で正確に実施可能です。年間約 10 万円~で利用が可能です。小規模サイトのシステムリリース前に診断を実施したり、リリース後の運用時に定期的に診断を実施したりすることに役立ちます。診断作業が半自動化できるメリットがあるものの、詳細な調査を行うのが難しいです。例えば、診断ツールは自動的にクロールして診断を行うものと実際の画面遷移を覚えさせてツールを動かすものがありますが、何か文字を入力しないと次の画面に行けない作りであれば自動クロールの使用は困難です。
一方、マニュアル診断では、なりすまし等、正常通信と変わらない動きをする脆弱性について効果を発揮します。1 回の診断は、約 50万円~となっており、内容によって金額は大きく変動します。主なセキュリティベンダのウェブ脆弱性診断サービスは、熟練のエンジニアによるマニュアル診断が主流です。エンジニアによる診断の場合、担当者のスキルに依存するため、スケジュール調整が難しい、コストが高額になる、本番システムへの負荷がかかるなどの懸念点があります。
メリット デメリット
ツール診断 ・ あらゆる攻撃パターンを短期間で正確に実施可能 ・ 人の目で判断しなければ検出できない脆弱性は、ツールでは検出できない
マニュアル診断 ・ なりすまし等、正常通信と変わらない動きをする脆弱性について効果を発揮
・ 大量な攻撃が必要な診断には適さない・ ヒューマンエラーが発生する
表 2:マニュアル診断とツール診断
図5:セキュリティの「事前対策」と「事後対策」
(事後対策){(a)+(b)+(c)}
×情報資産の重要度
(事前対策)セキュリティ対策費用
(a)ユーザへの損害賠償金(b)調査費用、セキュリティ再構築費用(c)ブランド毀損、風評被害、イメージ低下
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
7
シマンテックSSLサーバ証明書の「ウェブ脆弱性診断サービス」
シマンテックグループでは、インターネットの黎明期からウェブサイト運営者に対して、SSL サーバ証明書の提供を行って来ました。それに加えて、昨今の高度化するサイバー攻撃に対抗するため、ウェブ脆弱性診断サービスの提供を行なっております。この診断サービスは、主に 2 つのラインアップを用意しております。
1. 脆弱性アセスメント(ツール診断)
2. セキュリティ診断サービス(マニュアル診断+ツール診断) ① ウェブアプリケーション脆弱性診断 ② プラットフォーム診断
定期的なウェブ診断の利用に慣れていない場合、何からはじめてよいのか、どれぐらいの予算を見込めばいいのか、良く分からないこともあります。そのような場合、SSL サーバ証明書に無償で付属される「1. 脆弱性アセスメント (ツール診断)」から利用を開始してみることも可能です。
1. 脆弱性アセスメント (ツール診断)「脆弱性アセスメント」は、シマンテック SSL サーバ証明書 * をご利用中のお客様を対象に、インターネット経由で週一回診断を行うツール診断です。ネットワークレベルからウェブアプリケーションレベルまで、幅広い診断を定期的に行うことができます。ウェブサイトのリリース後の運用時に、この脆弱性アセスメントを利用することで、新たなセキュリティ脅威を検知したり、ウェブサイトの小規模改修時のセキュリティ対策漏れを検知したりすることができます。ウェブサイト管理者は、管理者サイトで脆弱性のレポートを確認、ダウンロードできます。また、脆弱性の修正後にお客様の都合の良いタイミングで「再実行」ができるボタンが管理者サイトに表示されます。
* グローバル・サーバ ID EV、セキュア・サーバ ID EV、グローバル・サーバ ID をご利用のお客様に提供されます。セキュア・サーバ ID には提供の予定はございません。
脆弱性アセスメントは、シマンテック SSL サーバ証明書をご利用中のウェブサイトに対しコモンネーム(FQDN)のトップページから診断を行います。診断は、コモンネーム単位で実施します。
脆弱性アセスメントをお申込みいただくと一週間に一回のタイミングでシマンテックの診断サーバからインターネット経由で、お客様のウェブサイトの診断を行います。
脆弱性が発見された場合、ウェブサイト管理者に対しメールで連絡されます。
ウェブサイト管理者は、管理者サイトで脆弱性のレポートを確認、ダウンロードできます。また、脆弱性の修正後にお客様の都合の良いタイミングで「再実行」ができるボタンが管理者サイトに表示されます。
図 6:脆弱性アセスメントの仕組み
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
8
○脆弱性アセスメントの設定方法(ストアフロントの場合)
User Portal の画面から「Vulnerability Scanning」をクリックします。
脆弱性アセスメント機能をオンにする場合は、「I agree to this Service Agreement」をチェックし、「Activate Scanning Service」をクリックします。
この後、24 時間以内に、脆弱性アセスメントが開始されます。
図 7
脆 弱 性アセスメント機 能をオフにするには「Deactivate Scanning Service」ボタンをクリックします。
E メールに関する設定は、「Email Preferences」にある以下の 3 つのラジオボタンから 1 つを選択して「Save Email Preference」をクリックします。
最後に実行された脆弱性アセスメントの結果レポートを表示するには「Download vulnerability report」をクリックします。
図 8
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
9
脆弱性アセスメントのレポートは、比較的分かりやすいレポートになっています。また、レポートの見方ガイドを提供しておりますので、初心者の方でも、すぐにご理解いただくことができます。
レポートは以下の項目で構成されています。
□ 脆弱性アセスメント概要
□ 重大な脆弱性の詳細
□ 注意を要する脆弱性のアクションリスト
□ 注意を要する脆弱性の詳細
□ Appendix A - システム環境情報
□ Appendix B - 技術参照情報
図 9
脆弱性アセスメント機能をオンにすると、ウェブに掲載されたセキュリティマーク(ノートンセキュアドシール)をクリックして表示されるページに脆弱性アセスメント機能を実行していることが表示されます。
図10
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
10
○脆弱性アセスメントの負荷について数時間掛けてゆっくり診断を実施しますので、負荷は限定的です。下表は、一例の実測値を目安として示すものですが、1 秒間に 1トランザクション以下のペースで、2 時間かけて診断を行なっております。(重大な脆弱性が発見されていないため 200 ページでの診断結果です。)
なお、ウェブページの作りや利用しているアプリケーションによって負荷は変化します。
項目 詳細
アセスメント実施時間合計 02:03:02
トランザクション数 6608
平均 TPS(秒あたりのトラフィック) 0.895
表 3:脆弱性アセスメントの負荷について
○脆弱性アセスメントの IP の公開負荷上昇時の対策やファイアウォール設定の目的でアセスメントサーバの IP アドレスを公開しています。
https://knowledge.symantec.com/jp/support/mpki-for-ssl-support/index?page=content&id=SO23908
できる限り負荷をかけない仕様になっておりますが、もし負荷がシステムへ影響を与えるようなら、アセスメント中でも公開されている IPにブロックを掛けることが可能です。また、脆弱性アセスメントの IP がファイアウォール、IPS 等でブロックされる場合にも、IP アドレスの設定でアクセスを許可していただけます。
○脆弱性アセスメントの診断詳細脆弱性アセスメントは、ネットワークレベルからウェブアプリケーションレベルまで、外部から診断できる範囲で脆弱性を見つけ出します。例えば、不要なポートが空いていないかどうか、Windows OS のパッチ適用状況は大丈夫か、SQL インジェクションの脆弱性がないかどうか等を検査します。これは、攻撃者がインターネットから攻撃を掛ける前の調査と似たようなことを行なっており、脆弱性アセスメントで重大な問題が見つからなければ、無作為なサイバー攻撃に遭いにくくなります。
No. アセスメント項目 アセスメント例
1.通信に関する脆弱性 (Communication) SSLサーバ証明書の期限切れ
コモンネームの不一致
その他の脆弱性 (Other) ポートスキャン(不要なポートが空いていないか)
2.
OSに関する脆弱性 (Local) OSのバージョンチェック
リモートアクセスに関する脆弱性 (Remote Access)
telnet/ssh/ftpのデフォルトパスワードチェック脆弱性のあるFTPサービスのチェック
3. ウェブ関連 (Web Server) ウェブサーバのバージョンチェックウェブサーバの設定チェック
4. ウェブアプリケーションに関する脆弱性 (Application)
アプリケーションサーバのバージョンチェックSQLインジェクション/クロスサイトスクリプティングの脆弱性チェックJavascriptのチェック
5. データベースに関する脆弱性 (Database) データベースに関する脆弱性チェック
表 4:脆弱性アセスメントの診断詳細
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
11
脆弱性アセスメントサーバ群
ウェブサーバ
ファイアウォール
GET /h9_W3rii0hW7.sh HTTP/1.1
GET /h9_W3rii0hW7.pl HTTP/1.1
GET /cgi-bin/h9_W3rii0hW7.cfm HTTP/1.1
GET /calendar/login.php HTTP/1.1
図 11:脆弱性アセスメントの検証コード例
2. セキュリティ診断サービス (マニュアル診断+ツール診断)脆弱性アセスメント以外にも、マニュアル診断とツール診断を組み合わせた「セキュリティ診断サービス(有償)」を提供しております。
① ウェブアプリケーション診断不適切な認証、セッションの推測など、ツール診断では検知ができない脆弱性を、マニュアル診断でカバーする形でご提供します。原則、診断はインターネット経由で実施します。お客様のご希望に応じて、オンサイト診断も実施します。
画面数、オンサイト診断の有無、報告会の有無、診断後のサポート内容によって、料金が変動します。(40 万円~)
② プラットフォーム診断ネットワーク機器、サーバ上の OS や各種アプリケーションの既知の脆弱性を調査します。診断は、インターネット経由のリモート診断とユーザ宅内から診断するオンサイト診断の 2 段階の手段となります。
IP アドレス数、オンサイト診断の有無、報告会の有無、診断後のサポート内容によって、料金が変動します。(25 万円~)
お客様側作業 シマンテック側作業 ドキュメント
セキュリティ診断の概要説明とお客様によるサービス内容の把握
お客様のシステム環境調査前のNDAの締結(必要に応じて)
診断対象決定のための調査/打合せ
診断実施のための事前確認項目のヒアリング
サービス仕様書・見積書の提示
診断の実施
診断レポートの作成
診断レポートの提示
Q&A(サポート)
診断サービス発注
NDA
契約関連
ヒアリングシート
診断レポート
最短3週間
1ヶ月
図12:サービス導入の流れ
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
12
合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/〒104-0028 東京都港区赤坂1-11-44赤坂インターシティTel:0120-707-637E-mail:websales_jp@symantec.com
Copyright Symantec Corporation. All rights reserved.シマンテック(Symantec)、ノートン(Norton)、およびチェックマークロゴ(the Checkmark Logo)は米国シマンテック・コーポレーション(Symantec Corporation)またはその関連会社の米国またはその他の国における登録商標、または、商標です。その他の名称もそれぞれの所有者による商標である可能性があります。製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2015年4月現在のものです。
重大な脆弱性が見つかった場合、どう対処すればよいか?
ウェブ診断の結果、ウェブアプリケーションの脆弱性が見つかった場合、アプリケーションの改修には、時間とコストがかかります。特に運用後のウェブサイトの場合、予算確保ができない、開発者の確保ができない、社内の調整が難しい等の問題が発生します。
そこで、脆弱性診断の診断レポートを元に、「シマンテック クラウド型 WAF(Web Application Firewall)」による対応可否情報を提供し、WAF サービスを素早く導入することで、検出された脆弱性を無害化するサービスを提供しております。クラウド型の WAF を導入すると、WAF がリバースプロキシとしてウェブサーバの前面に立つため、ウェブアプリケーションには手を入れずに、ウェブアプリケーションの脆弱性を覆い隠すことが可能です。すべての運用は WAF センター側で実施されますので、最新のセキュリティ対策で守ることができます。
ウェブサイトの改ざん 情報流出
マルウェアによるウイルス拡散の防止個人情報搾取
ブロック
ブロック
ブロック
ブロック
WAFセンター
シマンテック クラウド型WAF
攻撃者
攻撃者
利用者お客様システム
お客様のシステムは何も変わりません。
運用更新&シグネチャの更新、全てWAFセンターで実施します。
図 13:シマンテック クラウド型 WAF 提供形態概要
「シマンテック クラウド型 WAF」の特徴○ 既存システムの変更は不要なため、短期間で導入
○ 明確、安価な利用料金
○ 最新の脆弱性対策を常に反映シマンテック クラウド型 WAF によって、脆弱性診断で指摘された、「SQL インジェクション攻撃」、「コマンドインジェクション攻撃」を無害化できる他、お客様のウェブサーバが直接インターネットに公開されないため、「Apache Killer」や「Hash DoS」、「Apache Struts 2」による DoS 攻撃も防ぐことができます。
シマンテック クラウド型 WAF は、1ヶ月間無料で試用・検証可能な無料トライアルキットを用意していますので、実際に WAF を通した通信テストなどを行うことが可能です。
まとめ
昨今のウェブサイトに対するサイバー攻撃への対策は、人間が健康診断を行うように、定期的に脆弱性がないかどうかをチェックすることが重要です。システムリリース時や年次のタイミングで「マニュアル診断+ツール診断」を実施し、日々の運用時は「ツール診断」を定期実行することを推奨しております。また、脆弱性が見つかった場合は、アプリケーション改修か WAF 導入で回避することができます。ぜひとも、管理されているウェブサイトの脆弱性診断をご検討ください。
WPVA2012_1403
top related