P.57
「DOMベースのクロスサイト・スクリプティングのような静的解析では検出しにくいなど~」
ん?なんとなく全部DASTだと思ってたけど、製品D~HのうちのどれかはSASTなのかな。
X-Frame-OptionsかCSPヘッダの設定が無かったら取り合えずNG出しておきそうなクリックジャッキングを検出してない製品Eがもしかして?
「DOMベースのクロスサイト・スクリプティングのような静的解析では検出しにくいなど~」
ん?なんとなく全部DASTだと思ってたけど、製品D~HのうちのどれかはSASTなのかな。
X-Frame-OptionsかCSPヘッダの設定が無かったら取り合えずNG出しておきそうなクリックジャッキングを検出してない製品Eがもしかして?
August 1, 2025 at 3:11 PM
P.57
「DOMベースのクロスサイト・スクリプティングのような静的解析では検出しにくいなど~」
ん?なんとなく全部DASTだと思ってたけど、製品D~HのうちのどれかはSASTなのかな。
X-Frame-OptionsかCSPヘッダの設定が無かったら取り合えずNG出しておきそうなクリックジャッキングを検出してない製品Eがもしかして?
「DOMベースのクロスサイト・スクリプティングのような静的解析では検出しにくいなど~」
ん?なんとなく全部DASTだと思ってたけど、製品D~HのうちのどれかはSASTなのかな。
X-Frame-OptionsかCSPヘッダの設定が無かったら取り合えずNG出しておきそうなクリックジャッキングを検出してない製品Eがもしかして?
P.56
まあ、この結果も見方が難しい気はする。
同種の脆弱性5個のうち4個見つけても1個しか見つけられなくても「△:部分的に検出」なのだろうし。XSSなんて、Reflected / Stored / DOM Basedで検出傾向が明らかに変わりそう。
CSRFが全部「×:検出なし」も本当なのかな。csrftokenぽいパラメータが無いPOSTは全部NGにする過激な製品もありそうだけども。
まあ、この結果も見方が難しい気はする。
同種の脆弱性5個のうち4個見つけても1個しか見つけられなくても「△:部分的に検出」なのだろうし。XSSなんて、Reflected / Stored / DOM Basedで検出傾向が明らかに変わりそう。
CSRFが全部「×:検出なし」も本当なのかな。csrftokenぽいパラメータが無いPOSTは全部NGにする過激な製品もありそうだけども。
August 1, 2025 at 3:02 PM
P.56
まあ、この結果も見方が難しい気はする。
同種の脆弱性5個のうち4個見つけても1個しか見つけられなくても「△:部分的に検出」なのだろうし。XSSなんて、Reflected / Stored / DOM Basedで検出傾向が明らかに変わりそう。
CSRFが全部「×:検出なし」も本当なのかな。csrftokenぽいパラメータが無いPOSTは全部NGにする過激な製品もありそうだけども。
まあ、この結果も見方が難しい気はする。
同種の脆弱性5個のうち4個見つけても1個しか見つけられなくても「△:部分的に検出」なのだろうし。XSSなんて、Reflected / Stored / DOM Basedで検出傾向が明らかに変わりそう。
CSRFが全部「×:検出なし」も本当なのかな。csrftokenぽいパラメータが無いPOSTは全部NGにする過激な製品もありそうだけども。