# Web アプリケーション向けのマネージド検査

本ページでは、Web アプリケーション向けに Flatt Security により標準提供される検査項目（マネージド検査項目）について説明します。
なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。

:::info
Web アプリケーション向けのマネージド検査項目は今後も拡充予定であり、本ページも随時更新されます。
マネージド検査の拡充に関する最新のロードマップについては、Flatt Security にお問い合わせください。
:::

## 検査項目の一覧

| 検査項目名                                              | Shisho Cloud 内の管理 ID                                            |
| ------------------------------------------------------- | ------------------------------------------------------------------- |
| Access-Control-Allow-Origin ヘッダを適切に設定する      | `decision.api.shisho.dev/v1beta:web_acao`                           |
| ロールベースアクセス制御の不備を修正する                | `decision.api.shisho.dev/v1beta:web_authorization_rbac_violation`   |
| テナントに関するアクセス制御の不備を修正する            | `decision.api.shisho.dev/v1beta:web_authorization_tenant_tampering` |
| Cache-Control ヘッダを適切に設定する                    | `decision.api.shisho.dev/v1beta:web_cache_control`                  |
| クリックジャッキング対策を実施する                      | `decision.api.shisho.dev/v1beta:web_click_jacking`                  |
| Content-Type ヘッダを適切に設定する                     | `decision.api.shisho.dev/v1beta:web_content_type`                   |
| Cookie の HttpOnly 属性を有効化する                     | `decision.api.shisho.dev/v1beta:web_cookie_httponly`                |
| Cookie の SameSite 属性を設定する                       | `decision.api.shisho.dev/v1beta:web_cookie_samesite`                |
| Cookie の Secure 属性を有効化する                       | `decision.api.shisho.dev/v1beta:web_cookie_secure`                  |
| Cross-Origin-Opener-Policy ヘッダを設定する             | `decision.api.shisho.dev/v1beta:web_coop`                           |
| Cross-Origin-Resource-Policy ヘッダを設定する           | `decision.api.shisho.dev/v1beta:web_corp`                           |
| Content-Security-Policy ヘッダを設定する                | `decision.api.shisho.dev/v1beta:web_csp`                            |
| Cross-Site WebSocket Hijacking 脆弱性を修正する         | `decision.api.shisho.dev/v1beta:web_cswsh`                          |
| Eval Injection 脆弱性を修正する                         | `decision.api.shisho.dev/v1beta:web_evali`                          |
| Git ディレクトリの公開を無効化する                      | `decision.api.shisho.dev/v1beta:web_exposure_git`                   |
| .htpasswd ファイルの公開を無効化する                    | `decision.api.shisho.dev/v1beta:web_exposure_htpasswd`              |
| Nginx コンフィグファイルの公開を無効化する              | `decision.api.shisho.dev/v1beta:web_exposure_nginx`                 |
| SVN ディレクトリの公開を無効化する                      | `decision.api.shisho.dev/v1beta:web_exposure_svn`                   |
| Header Injection 脆弱性を修正する                       | `decision.api.shisho.dev/v1beta:web_headeri`                        |
| デバッグヒントを削除する                                | `decision.api.shisho.dev/v1beta:web_hint_debug`                     |
| ディレクトリリスティングを無効化する                    | `decision.api.shisho.dev/v1beta:web_hint_dir_browsing`              |
| 生のエラーログを公開しない                              | `decision.api.shisho.dev/v1beta:web_hint_error`                     |
| GraphQL の introspection を無効化する                   | `decision.api.shisho.dev/v1beta:web_hint_gql_introspection`         |
| JSO の使用要否を検討する                                | `decision.api.shisho.dev/v1beta:web_hint_jso`                       |
| シリアライズされた PHP オブジェクトの使用要否を検討する | `decision.api.shisho.dev/v1beta:web_hint_php_serialized`            |
| サーバ構成情報の露出を避ける                            | `decision.api.shisho.dev/v1beta:web_hint_server`                    |
| ソースコードに関する情報の漏洩を避ける                  | `decision.api.shisho.dev/v1beta:web_hint_src`                       |
| HSTS を有効化する                                       | `decision.api.shisho.dev/v1beta:web_hsts`                           |
| HSTS の max-age を適正値に設定する                      | `decision.api.shisho.dev/v1beta:web_hsts_max_age`                   |
| HSTS の includeSubDomains を有効化する                  | `decision.api.shisho.dev/v1beta:web_hsts_subdomain`                 |
| HTML Injection 脆弱性を修正する                         | `decision.api.shisho.dev/v1beta:web_htmli`                          |
| Path Traversal 脆弱性を修正する                         | `decision.api.shisho.dev/v1beta:web_lfi`                            |
| meta タグ内で HSTS を設定しない                         | `decision.api.shisho.dev/v1beta:web_meta_hsts`                      |
| meta タグ内で X-Frame-Options を設定しない              | `decision.api.shisho.dev/v1beta:web_meta_xfo`                       |
| OS Command Injection 脆弱性を修正する                   | `decision.api.shisho.dev/v1beta:web_osci`                           |
| Open Redirect 脆弱性を修正する                          | `decision.api.shisho.dev/v1beta:web_redirect`                       |
| Referrer-Policy ヘッダを設定する                        | `decision.api.shisho.dev/v1beta:web_referrer_policy`                |
| Remote File Inclusion 脆弱性を修正する                  | `decision.api.shisho.dev/v1beta:web_rfi`                            |
| SQL Injection 脆弱性を修正する                          | `decision.api.shisho.dev/v1beta:web_sqli`                           |
| Subresource Integrity (SRI) を有効化する                | `decision.api.shisho.dev/v1beta:web_sri`                            |
| Server Side Request Forgery 脆弱性を修正する            | `decision.api.shisho.dev/v1beta:web_ssrf`                           |
| Server Side Template Injection 脆弱性を修正する         | `decision.api.shisho.dev/v1beta:web_ssti`                           |
| X-Content-Type-Options ヘッダを有効化する               | `decision.api.shisho.dev/v1beta:web_x_content_type_options`         |
| XPath Injection 脆弱性を修正する                        | `decision.api.shisho.dev/v1beta:web_xpathi`                         |
| XSS 脆弱性を修正する                                    | `decision.api.shisho.dev/v1beta:web_xss`                            |
| XML External Entity 脆弱性を修正する                    | `decision.api.shisho.dev/v1beta:web_xxe`                            |