{api_detial} {vuln_detial}

レポートの概要

{sum_of_reports}

JS情報

{js_list}
ID JSアドレス 備考

免責事項

このレポートは、Packer Fuzzerツールのテスト結果に基づいています自動生成レポート、レポートの内容は、Packer Fuzzer開発チームの立場と見解を表すものではありません。

このツールが提供する検出機能の拡散または使用に起因するもの直接的または間接的な結果と損失、ユーザーの責任ですか、このチームはこれを行いません責任を負う

このツールを使用するときは、ユーザーとローカル関連する法規制、すべての無許可のテストは許可されていません

脆弱性の詳細

{vuln_list}

APIリスト

{api_list}
ID API名 APIアドレス 長さ 種類

安全アドバイス

    {suggest_foryou}

付録

  • 脆弱性の説明
    • CORSの脆弱性:クロスドメインリソース共有により、ブラウザの同一生成元ポリシーが緩和され、ブラウザを介した異なるWebサイトと異なるサーバ間の通信が可能になります。 ユーザーがCORS設定vuln.comを含むWebサイトにログインし、同時に攻撃者によって提供されたリンクevil.comにアクセスするとします。 evil.com Webサイトはvuln.comに機密データを取得するように要求します。ブラウザが情報を受信できるかどうかは、vuln.comの設定によって異なります。 vuln.comがAccess-Control-Allow-Originヘッダーで構成されており、それが予期されている場合、それを受信することが許可されます。それ以外の場合、同一生成元ポリシーのため、ブラウザーはそれを受信しません。

    不正アクセスの脆弱性:名前が示すように、インターフェースへの不正アクセスは、認証を要求せずに、対応するビジネスロジック機能に直接アクセスして操作できます。 これは通常、認証ページの欠陥、認証なし、不適切なセキュリティ設定などが原因で発生します。

    機密情報漏えいの脆弱性:情報漏えいとは、WebサイトのページまたはJSファイル内の機密情報の漏えいを指します。 この機密情報を通じて、攻撃者はサーバーにさらに侵入することができます。

    水平ウルトラバイア:不正な脆弱性とは、アプリケーションが現在のユーザー操作のIDと権限を厳密に検証しないため、ユーザーが自分の管理権限の範囲を超えて機能を操作し、ユーザーが操作できない動作を操作することを意味します。 権限レベルを超えると、同じレベルのユーザーが、名前、携帯電話番号、連絡先アドレス、個人情報、注文記録など、お互いの機密情報にアクセスすることになります。 同時に、同じ権限を持つ他のユーザーとして、削除、追加、変更などの特定の機能を実行することもできます。

    SQLインジェクションの脆弱性:SQLインジェクションの脆弱性の理由は、Webサイトアプリケーションが書き込み時にユーザーがサーバーに送信したデータの有効性(タイプ、長さ、ビジネスパラメーターの合法性など)を検証せず、特殊文字を含むユーザー入力データを効果的にフィルタリングしなかったためです 、ユーザーの入力が直接データベースに取り込まれて実行されるため、SQLステートメントの元の設計の予想される結果を超え、SQLインジェクションの脆弱性が発生します。

    脆弱なパスワードの脆弱性:ウェブサイトの管理および運用担当者のセキュリティ意識が不足しているため、便宜上、パスワードを忘れないようにするために、パスワードは非常に覚えやすいか、システムのデフォルトのパスワードが直接採用されています。 攻撃者はこの脆弱性を利用して、アプリケーションシステムまたは管理システムに直接侵入することで、システム、Webページ、およびデータを改ざんおよび削除し、システムおよびユーザーデータを不正に取得し、サーバーを落下させることさえあります。

    任意のファイルアップロードの脆弱性:アプリケーションシステムは、ファイルアップロード機能でユーザーがアップロードしたファイルタイプ、形式、コンテンツなどの正当性をチェックし、攻撃者がWebshel​​lの悪意のあるスクリプトファイル(.php、.jsp、aspなど)または次のような望ましくない形式のファイルをアップロードできるようにします。 同時に、HTMLファイル、SHTMLファイルなど、ディレクトリジャンプなどの文字を使用したり、アップロードディレクトリを制御して、ファイルをWebディレクトリまたは任意のディレクトリに直接アップロードしたり、リモートサーバーで任意の悪意のあるスクリプトファイルを実行して、アプリケーションシステムの権限を直接取得する可能性があります。 。

  • 脆弱性レベル
    • このレポートには、低リスク、中リスク、高リスクの3つの脆弱性レベルが組み込まれています。 その中には、リスクの高い脆弱性のタイプが含まれます:弱いパスワードの脆弱性、任意のファイルアップロードの脆弱性、SQLインジェクションの脆弱性;中程度に危険な脆弱性のタイプには、次のものが含まれます:水平方向の超ウイルスの脆弱性、機密情報漏えいの脆弱性、不正アクセスの脆弱性、低リスクの脆弱性には、 :CORSの脆弱性。 中でも、「低い」レベルの信頼度での検出結果は、脆弱性レベルのダメージを自動的に軽減し、脆弱性レベルがすでに最も低い場合、ダウングレードされません。 たとえば、特定の脆弱性は次のとおりです。SQLインジェクションの脆弱性。これはリスクの高い脆弱性ですが、その信頼度は「低い」ため、リスクは中程度の脆弱性に自動的にダウングレードされます。

  • リスクレベル
    • このレポートには、スコアリング評価モデルを使用して、リスクなし、低リスク、中リスク、高リスクの4つのリスクレベルが組み込まれており、対応するスコアレベルは0、5、10、18です。 対応する脆弱性レベルは、低リスクの場合は1ポイント、中リスクの場合は2ポイント、高リスクの場合は6ポイントです。 たとえば、スキャンで、合計1つの高リスク、2つの中リスク、および5つの低リスクの脆弱性が見つかり、スコアの計算方法は次のとおりです。1x 6 + 2 x 2 + 5 x 1 = 15(ポイント)、スコアは10より大きく、 18未満なので、リスクレベルは「中程度のリスク」です。