Web アプリケーション向けのマネージド検査
本ページでは、Web アプリケーション向けに Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
info
Web アプリケーション向けのマネージド検査項目は今後も拡充予定であり、本ページも随時更新されます。 マネージド検査の拡充に関する最新のロードマップについては、Flatt Security にお問い合わせください。
検査項目の一覧
| 検査項目名 | Shisho Cloud 内の管理 ID |
|---|---|
| Access-Control-Allow-Origin ヘッダを適切に設定する | decision.api.shisho.dev/v1beta:web_acao |
| ロールベースアクセス制御の不備を修正する | decision.api.shisho.dev/v1beta:web_authorization_rbac_violation |
| テナントに関するアクセス制御の不備を修正する | decision.api.shisho.dev/v1beta:web_authorization_tenant_tampering |
| Cache-Control ヘッダを適切に設定する | decision.api.shisho.dev/v1beta:web_cache_control |
| クリックジャッキング対策を実施する | decision.api.shisho.dev/v1beta:web_click_jacking |
| Content-Type ヘッダを適切に設定する | decision.api.shisho.dev/v1beta:web_content_type |
| Cookie の HttpOnly 属性を有効化する | decision.api.shisho.dev/v1beta:web_cookie_httponly |
| Cookie の SameSite 属性を設定する | decision.api.shisho.dev/v1beta:web_cookie_samesite |
| Cookie の Secure 属性を有効化する | decision.api.shisho.dev/v1beta:web_cookie_secure |
| Cross-Origin-Opener-Policy ヘッダを設定する | decision.api.shisho.dev/v1beta:web_coop |
| Cross-Origin-Resource-Policy ヘッダを設定する | decision.api.shisho.dev/v1beta:web_corp |
| Content-Security-Policy ヘッダを設定する | decision.api.shisho.dev/v1beta:web_csp |
| Cross-Site WebSocket Hijacking 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_cswsh |
| Eval Injection 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_evali |
| Git ディレクトリの公開を無効化する | decision.api.shisho.dev/v1beta:web_exposure_git |
| .htpasswd ファイルの公開を無効化する | decision.api.shisho.dev/v1beta:web_exposure_htpasswd |
| Nginx コンフィグファイルの公開を無効化する | decision.api.shisho.dev/v1beta:web_exposure_nginx |
| SVN ディレクトリの公開を無効化する | decision.api.shisho.dev/v1beta:web_exposure_svn |
| Header Injection 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_headeri |
| デバッグヒントを削除する | decision.api.shisho.dev/v1beta:web_hint_debug |
| ディレクトリリスティングを無効化する | decision.api.shisho.dev/v1beta:web_hint_dir_browsing |
| 生のエラーログを公開しない | decision.api.shisho.dev/v1beta:web_hint_error |
| GraphQL の introspection を無効化する | decision.api.shisho.dev/v1beta:web_hint_gql_introspection |
| JSO の使用要否を検討する | decision.api.shisho.dev/v1beta:web_hint_jso |
| シリアライズされた PHP オブジェクトの使用要否を検討する | decision.api.shisho.dev/v1beta:web_hint_php_serialized |
| サーバ構成情報の露出を避ける | decision.api.shisho.dev/v1beta:web_hint_server |
| ソースコードに関する情報の漏洩を避ける | decision.api.shisho.dev/v1beta:web_hint_src |
| HSTS を有効化する | decision.api.shisho.dev/v1beta:web_hsts |
| HSTS の max-age を適正値に設定する | decision.api.shisho.dev/v1beta:web_hsts_max_age |
| HSTS の includeSubDomains を有効化する | decision.api.shisho.dev/v1beta:web_hsts_subdomain |
| HTML Injection 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_htmli |
| Path Traversal 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_lfi |
| meta タグ内で HSTS を設定しない | decision.api.shisho.dev/v1beta:web_meta_hsts |
| meta タグ内で X-Frame-Options を設定しない | decision.api.shisho.dev/v1beta:web_meta_xfo |
| OS Command Injection 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_osci |
| Open Redirect 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_redirect |
| Referrer-Policy ヘッダを設定する | decision.api.shisho.dev/v1beta:web_referrer_policy |
| Remote File Inclusion 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_rfi |
| SQL Injection 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_sqli |
| Subresource Integrity (SRI) を有効化する | decision.api.shisho.dev/v1beta:web_sri |
| Server Side Request Forgery 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_ssrf |
| Server Side Template Injection 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_ssti |
| X-Content-Type-Options ヘッダを有効化する | decision.api.shisho.dev/v1beta:web_x_content_type_options |
| XPath Injection 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_xpathi |
| XSS 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_xss |
| XML External Entity 脆弱性を修正する | decision.api.shisho.dev/v1beta:web_xxe |