BlueDog's Home

リスク評価基準#

重大な不安全システム

• 1 つ以上の重大な脆弱性、または 3 つ以上の高リスク脆弱性が存在するシステム

高リスク不安全システム

• 1 つ以上の高リスク脆弱性、または 5 つ以上の中リスク脆弱性が存在するシステム

中リスク不安全システム

• 1 つ以上の中リスク脆弱性、または 5 つ以上の低リスク脆弱性が存在するシステム

低リスク不安全システム

• 中高リスクがなく、5 つ以上の低リスク脆弱性が存在するシステム

安全なシステム

• 中高リスクがなく、5 つ以下の低リスク脆弱性が存在するシステム

脆弱性評価基準#

重大な脆弱性

1. 業務サーバーの権限を直接取得する脆弱性や重要なデータを取得する脆弱性。これには、コマンド実行、webshell のアップロード、コード実行、SQL インジェクションによる大量の重要データの取得が含まれます。
2. システムの業務やデータセキュリティに重大な影響を与える論理的脆弱性。これには、任意のアカウントのパスワードリセットや変更の脆弱性、任意のアカウントの資金消費、システムが簡単に悪用されること、重大な権限の越権アクセスの脆弱性、未承認のバックエンド管理システムへのアクセス、重大な機密情報の漏洩が含まれます。
3. コア業務のサービス拒否を直接引き起こす脆弱性。これには、リモートサービス拒否の脆弱性を通じて、オンラインのコアアプリケーション、システム、サーバーがサービスを提供できなくなる脆弱性が含まれます。

高リスク脆弱性

1. 機密情報漏洩の脆弱性。これには、ソースコードの圧縮ファイルの漏洩、SQL インジェクション、権限の越権または大量のユーザー、従業員情報の直接取得が含まれます。
2. アカウントのブルートフォース攻撃の脆弱性。
3. クライアントとサーバーの権限をリモートで取得できる脆弱性。これには、SSRF、リモートバッファオーバーフロー、ストレージ型 XSS、クッキーなどの機密情報を取得できる XSS が含まれます。

中リスク脆弱性

1. 一般的な情報漏洩。これには、機密データに関与しない SQL インジェクション、影響を与えるデータ量が限られているか、機密度が限られている越権、ソースコードやシステムログなどの情報漏洩が含まれます。
2. 被害者のインタラクションや他の前提条件が必要な脆弱性。これには、ユーザーやウェブサイトの機密データを含む JSON ハイジャック、重要な操作（支払い操作、情報の公開または個人アカウントの機密情報の変更など）の CSRF、反射型 XSS が含まれます。
3. 一般的な論理的欠陥の脆弱性と越権の脆弱性。

低リスク脆弱性

1. 軽微な情報漏洩。これには、パス、SVN 情報の漏洩、PHPinfo、例外や少量の機密フィールドを含むデバッグ情報、ログの印刷や設定などの漏洩が含まれます。
2. 限定的なアプリケーションシナリオの脆弱性と利用が難しいセキュリティ脆弱性。これには、制限された反射型または自己型 XSS、SMS / メールの洪水、URL リダイレクト、機密操作の CSRF が含まれます。

セキュリティ制御の提案#

認証

• 弱いパスワードが存在するシステムに対しては、ユーザーのセキュリティ意識を強化する前提で、パスワードの変更を促すか、パスワードの長さと複雑さを強制的に制限するポリシーを使用する必要があります。
• 弱いパスワードまたは空のパスワードのサービスがある場合、重要なサービスではパスワードの強度を強化し、暗号化された通信方法を使用する必要があります。無効にできるサービスについては、そのサービスを無効にして安全を確保することをお勧めします。また、指定された範囲内の IP アドレスに制限することもお勧めします。
• CAPTCHA 機能があるシステムやサービスでは、フロントエンドだけでなくバックエンドでも二次検証を行い、前後で同時に強化する必要があります。
• 異なるシステムやホストは、パスワードルールに基づいて強い複雑性を持つ異なるパスワードを使用する必要があります。
• 内外のさまざまなサービスの弱いパスワードの現象を調査する必要があります。

アプリケーション

• サーバーは HTTPS 方式でアクセスし、通信を暗号化します。
• すべてのミドルウェアに対して権限を制限し、管理者などの高権限アカウントを使用しないようにします。
• セキュリティ製品、WAF、ホストセキュリティ、状況認識などの使用をお勧めします。
• ユーザーがログインした後、ユーザーのユニークな情報に関与するリクエストは、毎回所有権を検証し、機密情報ページにランダムな数値のパラメータを加え、ブラウザが内容をキャッシュしないようにします。
• Oracle データベースサービスのアプリケーションシステムについては、最新バージョンに更新し、最新のパッチをインストールすることをお勧めします。詳細は Oracle の公式セキュリティ公告を参照してください https://www.oracle.com/security-alerts/
• Struts2 ミドルウェアを含むアプリケーションシステムについては、管理者は Apache の公式セキュリティ公告を定期的に確認する必要があります https://cwiki.apache.org/confluence/display/WW/Security+Bulletins
• Harbor サービスを含むアプリケーションシステムについては、管理者は公式のセキュリティ公告を定期的に確認する必要があります https://github.com/goharbor/harbor/security/advisories
• Jira サービスを含むアプリケーションシステムについては、管理者は Atlassian の公式セキュリティ公告を定期的に確認する必要があります https://jira.atlassian.com/browse/JRASERVER-69858?filter=13085
• Weblogic ミドルウェアを含むアプリケーションシステムについては、最新バージョンに更新し、最新のパッチをインストールすることをお勧めします。詳細は Oracle の公式セキュリティ公告を参照してください https://www.oracle.com/security-alerts/
• Shiro ミドルウェアを含むアプリケーションシステムについては、管理者は Apache の公式セキュリティ公告を定期的に確認する必要があります https://issues.apache.org/jira/projects/SHIRO/issues
• Solr ミドルウェアを含むアプリケーションシステムについては、管理者は Apache の公式セキュリティ公告を定期的に確認する必要があります https://issues.apache.org/jira/projects/SOLR/issues
• Jenkins サービスを含むアプリケーションシステムについては、管理者は公式のセキュリティ公告を定期的に確認する必要があります https://jenkins.io/security/advisories/
• Tomcat ミドルウェアを含むアプリケーションシステムについては、管理者は Apache の公式セキュリティ公告を定期的に確認する必要があります http://tomcat.apache.org/security.html
• Zhiyuan サービスを含むアプリケーションシステムについては、管理者は公式のセキュリティ公告を定期的に確認する必要があります http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1
• Fanwei サービスを含むアプリケーションシステムについては、管理者は公式のセキュリティ更新公告を定期的に確認する必要があります https://www.weaver.com.cn/cs/securityDownload.html#
• Tongda サービスを含むアプリケーションシステムについては、管理者は公式のセキュリティ公告を定期的に確認し、更新をダウンロードする必要があります https://www.tongda2000.com/download/p2019.php?F=&K=
• Lanling サービスを含むアプリケーションシステムについては、管理者は公式の動向を定期的に確認する必要があります http://www.landray.com.cn/
• Yonyou サービスを含むアプリケーションシステムについては、管理者は公式のセキュリティ公告を定期的に確認し、更新をダウンロードする必要があります http://fwq.yonyou.com/up_service/index.php?r=public/serv&ciId=594806863904A9D8
• Kingdee サービスを含むアプリケーションシステムについては、管理者は公式のセキュリティ公告を定期的に確認し、更新をダウンロードする必要があります http://www.buykingdee.com/download/download.php?lang=cn&class2=123
• Jinher サービスを含むアプリケーションシステムについては、管理者は公式のセキュリティ公告を定期的に確認し、更新をダウンロードする必要があります http://www.jinher.com/Service/index/id/169
• JBOSS ミドルウェアを含むアプリケーションシステムについては、管理者は JBOSS の公式セキュリティ公告を定期的に確認し、更新をダウンロードする必要があります http://jbossas.jboss.org/downloads/
• https://github.com/advisories

ホスト

• セキュリティグループを適切に構成し、不要なポートやサービスを外部に開放しないようにします。
• 定期的にペネトレーションテスト、ホスト＆WEB 脆弱性スキャンを実施することをお勧めします。
• Windows ホストの脆弱性保護については、管理者は Microsoft の公式セキュリティ公告を定期的に確認する必要があります https://portal.msrc.microsoft.com/zh-cn/security-guidance
• UNIX ホストの脆弱性保護については、管理者は対応するリリースバージョンの公式セキュリティ公告を確認する必要があります
  • RedHat システム公式セキュリティ公告 : https://access.redhat.com/errata/#/
  • CentOS システム公式セキュリティ公告 : https://lists.centos.org/pipermail/centos-announce/
  • SUSE システム公式セキュリティ公告 : https://www.suse.com/support/update/
  • Ubuntu システム公式セキュリティ公告 : https://ubuntu.com/security/notices
  • Debian システム公式セキュリティ公告 : https://www.debian.org/security/
  • arch システム公式セキュリティ公告 : https://security.archlinux.org/
  • fedora システム公式セキュリティ公告 : https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/
  • gentoo システム公式セキュリティ公告 : https://security.gentoo.org/glsa/
  • freebsd システム公式セキュリティ公告 : http://vuxml.freebsd.org/freebsd/
  • slackware システム公式セキュリティ公告 : http://www.slackware.com/security/
  • opensuse システム公式セキュリティ公告 : https://lists.opensuse.org/opensuse-security-announce/

APP

• https://source.android.com/security/bulletin

コード

• コードとデータを厳密に区別し、ユーザー入力やインタラクションが存在する場所では制限またはフィルタリング手段を講じる必要があります。
• ファイルをアップロードする際、サーバー側でファイル属性の合法性を検証し、ホワイトリスト形式で文書タイプ（ファイルの拡張子、ファイルヘッダー情報の検証など）とサイズ（画像の長さ、幅、ピクセルなど）をチェックします。
• 開発時には、関連するフレームワークライブラリの最新の安定版を優先的に使用し、公式ライブラリが公開するセキュリティパッチに注意を払います。
• 企業のソフトウェアセキュリティ管理の組織構造に基づいて、企業のセキュリティ関連の専門家の専門レベルに応じて、組織を形成し、役割を分担し、安全チームを構築する文書を作成します。

認証#

弱いパスワード / 空のパスワード#

Web バックエンドシステムの弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  ウェブサイトのユーザーアカウントに弱いパスワードが存在し、攻撃者が弱いパスワードを使用してウェブサイトに簡単にログインし、次の攻撃を実行できるようになります。たとえば、webshell のアップロード、機密データの取得、さらに攻撃者が弱いパスワードを使用してウェブサイトの管理バックエンドにログインし、任意の管理者の操作を実行できます。

• 造成される危害

  攻撃者はこの脆弱性を利用してアプリケーションシステムまたは管理システムに直接アクセスし、システム、ウェブページ、データの改ざんや削除を行い、システムやユーザーのデータを不正に取得し、サーバーが侵害される可能性があります。

• 修正提案

  • ユーザー側

    1. 一般的な弱いパスワードをパスワードとして使用しないでください。
    2. 複数のシステムやソーシャルアカウントで同じパスワードを使用しないでください。
    3. 定期的にパスワードを変更してください。
    4. ランダムな値を含むか、ランダムに生成された文字列をシステムパスワードとして使用することをお勧めします。

  • システム側

    1. 人間と機械の検証メカニズムを追加し、IP アクセス回数を制限します。
    2. サーバー側でログイン時に画像認証を追加し、使用後に破棄されることを保証します。
    3. ユーザーが初回ログイン時にデフォルトのパスワードを変更するか、ユーザーがカスタマイズした初期パスワードを使用するポリシーを強制します。
    4. サーバー側でログインインターフェースに制限を設け、単一の IP が一定時間内に閾値を超えるリクエストを行った場合、30 分間禁止します。
    5. サーバー側でログインインターフェースに制限を設け、単一のユーザーのパスワードが一定時間内に誤った回数が閾値を超えた場合、20 分間禁止します。
    6. パスワードの変更、アカウントの追加など、パスワードポリシーに関与する部分でユーザーに強いパスワードポリシーを強制します（大文字と小文字のアルファベット + 数字 + 特殊文字 + 8 文字以上）。
    7. パスワードポリシーを改善し、情報セキュリティのベストプラクティスとして、パスワードポリシーは 8 文字（含む）以上の文字で、数字、大文字と小文字のアルファベット、特殊文字のうち少なくとも 3 種類を含む必要があります。

FTP の弱いパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、リモート FTP サーバーが弱いパスワードの組み合わせでログインを許可していることが判明しました。

• 造成される危害

  これにより、攻撃者は悪意のあるファイルをアップロードしたり、機密ファイルをダウンロードしたりできる可能性があります。

• 修正提案

  1. 一般的な弱いパスワードをパスワードとして使用しないでください。
  2. 定期的にパスワードを変更してください。
  3. FTP サービスを最新バージョンに更新してください。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

FTP 匿名ログイン

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットホストが開放している FTP サービスが匿名ユーザーのログインを許可していることが判明しました。

• 造成される危害

  ハッカーは弱いパスワードや匿名ログインの脆弱性を利用して FTP サービスに直接ログインし、悪意のあるファイルをアップロードすることでシステム権限を取得し、データ漏洩を引き起こす可能性があります。

• 修正提案

  1. 匿名アクセスを無効にします。
  2. 一般的な弱いパスワードをパスワードとして使用しないでください。
  3. 定期的にパスワードを変更してください。
  4. FTP サービスを最新バージョンに更新してください。
  5. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

SSH の弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  SSH の弱いパスワードの脆弱性は、Linux システムのパスワードの長さが短すぎるか、複雑さが不十分であることを指します。たとえば、数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。攻撃者は弱いパスワードを利用して SSH サーバーに直接ログインし、ウェブサイトのコードを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

データベースの弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  データベースの弱いパスワードの脆弱性は、データベース管理者アカウントに対応するパスワードの長さが短すぎるか、複雑さが不十分であることを指します。数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。一度攻撃者が取得すると、データベースシステムに直接ログインし、サーバー上のファイルを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はデータベースを直接操作でき、さらには権限を昇格させてサーバー権限を取得することができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

xxx の弱いパスワード / 空のパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットサーバーに xxx サービスの弱いパスワードの問題が存在することが判明しました。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

  または

  攻撃者はブルートフォース攻撃を通じてターゲットデータベースを完全に制御でき、データ情報を盗んだり、改ざんしたりすることができます。

• 修正提案

  1. アカウントには弱いパスワードを使用しないでください。パスワードの強度は 8 文字以上で、大文字と小文字の数字を混ぜることをお勧めします。
  2. ホワイトリスト IP のみがログインを許可されます。

xxx バックエンドに安全な認証がない

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲット xxx サービスに安全な認証がないことが判明しました。

• 造成される危害

  攻撃者はこの脆弱性を利用してアプリケーションシステムまたは管理システムに直接アクセスし、システム、ウェブページ、データの改ざんや削除を行い、システムやユーザーのデータを不正に取得し、サーバーが侵害される可能性があります。

• 修正提案

  • ユーザー側
    1. 一般的な弱いパスワードをパスワードとして使用しないでください。
    2. 複数のシステムやソーシャルアカウントで同じパスワードを使用しないでください。
    3. 定期的にパスワードを変更してください。
    4. ランダムな値を含むか、ランダムに生成された文字列をシステムパスワードとして使用することをお勧めします。
  • システム側
    1. ユーザーが初回ログイン時にデフォルトのパスワードを変更するか、ユーザーがカスタマイズした初期パスワードを使用するポリシーを強制します。
    2. サーバー側でログインインターフェースに制限を設け、単一の IP が一定時間内に閾値を超えるリクエストを行った場合、30 分間禁止します。
    3. サーバー側でログインインターフェースに制限を設け、単一のユーザーのパスワードが一定時間内に誤った回数が閾値を超えた場合、20 分間禁止します。
    4. パスワードの変更、アカウントの追加など、パスワードポリシーに関与する部分でユーザーに強いパスワードポリシーを強制します（大文字と小文字のアルファベット + 数字 + 特殊文字 + 8 文字以上）。
    5. パスワードポリシーを改善し、情報セキュリティのベストプラクティスとして、パスワードポリシーは 8 文字（含む）以上の文字で、数字、大文字と小文字のアルファベット、特殊文字のうち少なくとも 3 種類を含む必要があります。

FTP の弱いパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、リモート FTP サーバーが弱いパスワードの組み合わせでログインを許可していることが判明しました。

• 造成される危害

  これにより、攻撃者は悪意のあるファイルをアップロードしたり、機密ファイルをダウンロードしたりできる可能性があります。

• 修正提案

  1. 一般的な弱いパスワードをパスワードとして使用しないでください。
  2. 定期的にパスワードを変更してください。
  3. FTP サービスを最新バージョンに更新してください。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

FTP 匿名ログイン

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットホストが開放している FTP サービスが匿名ユーザーのログインを許可していることが判明しました。

• 造成される危害

  ハッカーは弱いパスワードや匿名ログインの脆弱性を利用して FTP サービスに直接ログインし、悪意のあるファイルをアップロードすることでシステム権限を取得し、データ漏洩を引き起こす可能性があります。

• 修正提案

  1. 匿名アクセスを無効にします。
  2. 一般的な弱いパスワードをパスワードとして使用しないでください。
  3. 定期的にパスワードを変更してください。
  4. FTP サービスを最新バージョンに更新してください。
  5. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

SSH の弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  SSH の弱いパスワードの脆弱性は、Linux システムのパスワードの長さが短すぎるか、複雑さが不十分であることを指します。たとえば、数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。攻撃者は弱いパスワードを利用して SSH サーバーに直接ログインし、ウェブサイトのコードを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

データベースの弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  データベースの弱いパスワードの脆弱性は、データベース管理者アカウントに対応するパスワードの長さが短すぎるか、複雑さが不十分であることを指します。数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。一度攻撃者が取得すると、データベースシステムに直接ログインし、サーバー上のファイルを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はデータベースを直接操作でき、さらには権限を昇格させてサーバー権限を取得することができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

xxx の弱いパスワード / 空のパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陀

• 詳細

  ペネトレーションテストの過程で、ターゲットサーバーに xxx サービスの弱いパスワードの問題が存在することが判明しました。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

  または

  攻撃者はブルートフォース攻撃を通じてターゲットデータベースを完全に制御でき、データ情報を盗んだり、改ざんしたりすることができます。

• 修正提案

  1. アカウントには弱いパスワードを使用しないでください。パスワードの強度は 8 文字以上で、大文字と小文字の数字を混ぜることをお勧めします。
  2. ホワイトリスト IP のみがログインを許可されます。

xxx バックエンドに安全な認証がない

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲット xxx サービスに安全な認証がないことが判明しました。

• 造成される危害

  攻撃者はこの脆弱性を利用してアプリケーションシステムまたは管理システムに直接アクセスし、システム、ウェブページ、データの改ざんや削除を行い、システムやユーザーのデータを不正に取得し、サーバーが侵害される可能性があります。

• 修正提案

  • ユーザー側
    1. 一般的な弱いパスワードをパスワードとして使用しないでください。
    2. 複数のシステムやソーシャルアカウントで同じパスワードを使用しないでください。
    3. 定期的にパスワードを変更してください。
    4. ランダムな値を含むか、ランダムに生成された文字列をシステムパスワードとして使用することをお勧めします。
  • システム側
    1. ユーザーが初回ログイン時にデフォルトのパスワードを変更するか、ユーザーがカスタマイズした初期パスワードを使用するポリシーを強制します。
    2. サーバー側でログインインターフェースに制限を設け、単一の IP が一定時間内に閾値を超えるリクエストを行った場合、30 分間禁止します。
    3. サーバー側でログインインターフェースに制限を設け、単一のユーザーのパスワードが一定時間内に誤った回数が閾値を超えた場合、20 分間禁止します。
    4. パスワードの変更、アカウントの追加など、パスワードポリシーに関与する部分でユーザーに強いパスワードポリシーを強制します（大文字と小文字のアルファベット + 数字 + 特殊文字 + 8 文字以上）。
    5. パスワードポリシーを改善し、情報セキュリティのベストプラクティスとして、パスワードポリシーは 8 文字（含む）以上の文字で、数字、大文字と小文字のアルファベット、特殊文字のうち少なくとも 3 種類を含む必要があります。

FTP の弱いパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、リモート FTP サーバーが弱いパスワードの組み合わせでログインを許可していることが判明しました。

• 造成される危害

  これにより、攻撃者は悪意のあるファイルをアップロードしたり、機密ファイルをダウンロードしたりできる可能性があります。

• 修正提案

  1. 一般的な弱いパスワードをパスワードとして使用しないでください。
  2. 定期的にパスワードを変更してください。
  3. FTP サービスを最新バージョンに更新してください。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

FTP 匿名ログイン

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットホストが開放している FTP サービスが匿名ユーザーのログインを許可していることが判明しました。

• 造成される危害

  ハッカーは弱いパスワードや匿名ログインの脆弱性を利用して FTP サービスに直接ログインし、悪意のあるファイルをアップロードすることでシステム権限を取得し、データ漏洩を引き起こす可能性があります。

• 修正提案

  1. 匿名アクセスを無効にします。
  2. 一般的な弱いパスワードをパスワードとして使用しないでください。
  3. 定期的にパスワードを変更してください。
  4. FTP サービスを最新バージョンに更新してください。
  5. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

SSH の弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  SSH の弱いパスワードの脆弱性は、Linux システムのパスワードの長さが短すぎるか、複雑さが不十分であることを指します。たとえば、数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。攻撃者は弱いパスワードを利用して SSH サーバーに直接ログインし、ウェブサイトのコードを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

データベースの弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  データベースの弱いパスワードの脆弱性は、データベース管理者アカウントに対応するパスワードの長さが短すぎるか、複雑さが不十分であることを指します。数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。一度攻撃者が取得すると、データベースシステムに直接ログインし、サーバー上のファイルを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はデータベースを直接操作でき、さらには権限を昇格させてサーバー権限を取得することができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

xxx の弱いパスワード / 空のパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットサーバーに xxx サービスの弱いパスワードの問題が存在することが判明しました。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

  または

  攻撃者はブルートフォース攻撃を通じてターゲットデータベースを完全に制御でき、データ情報を盗んだり、改ざんしたりすることができます。

• 修正提案

  1. アカウントには弱いパスワードを使用しないでください。パスワードの強度は 8 文字以上で、大文字と小文字の数字を混ぜることをお勧めします。
  2. ホワイトリスト IP のみがログインを許可されます。

xxx バックエンドに安全な認証がない

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲット xxx サービスに安全な認証がないことが判明しました。

• 造成される危害

  攻撃者はこの脆弱性を利用してアプリケーションシステムまたは管理システムに直接アクセスし、システム、ウェブページ、データの改ざんや削除を行い、システムやユーザーのデータを不正に取得し、サーバーが侵害される可能性があります。

• 修正提案

  • ユーザー側
    1. 一般的な弱いパスワードをパスワードとして使用しないでください。
    2. 複数のシステムやソーシャルアカウントで同じパスワードを使用しないでください。
    3. 定期的にパスワードを変更してください。
    4. ランダムな値を含むか、ランダムに生成された文字列をシステムパスワードとして使用することをお勧めします。
  • システム側
    1. ユーザーが初回ログイン時にデフォルトのパスワードを変更するか、ユーザーがカスタマイズした初期パスワードを使用するポリシーを強制します。
    2. サーバー側でログインインターフェースに制限を設け、単一の IP が一定時間内に閾値を超えるリクエストを行った場合、30 分間禁止します。
    3. サーバー側でログインインターフェースに制限を設け、単一のユーザーのパスワードが一定時間内に誤った回数が閾値を超えた場合、20 分間禁止します。
    4. パスワードの変更、アカウントの追加など、パスワードポリシーに関与する部分でユーザーに強いパスワードポリシーを強制します（大文字と小文字のアルファベット + 数字 + 特殊文字 + 8 文字以上）。
    5. パスワードポリシーを改善し、情報セキュリティのベストプラクティスとして、パスワードポリシーは 8 文字（含む）以上の文字で、数字、大文字と小文字のアルファベット、特殊文字のうち少なくとも 3 種類を含む必要があります。

FTP の弱いパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、リモート FTP サーバーが弱いパスワードの組み合わせでログインを許可していることが判明しました。

• 造成される危害

  これにより、攻撃者は悪意のあるファイルをアップロードしたり、機密ファイルをダウンロードしたりできる可能性があります。

• 修正提案

  1. 一般的な弱いパスワードをパスワードとして使用しないでください。
  2. 定期的にパスワードを変更してください。
  3. FTP サービスを最新バージョンに更新してください。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

FTP 匿名ログイン

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットホストが開放している FTP サービスが匿名ユーザーのログインを許可していることが判明しました。

• 造成される危害

  ハッカーは弱いパスワードや匿名ログインの脆弱性を利用して FTP サービスに直接ログインし、悪意のあるファイルをアップロードすることでシステム権限を取得し、データ漏洩を引き起こす可能性があります。

• 修正提案

  1. 匿名アクセスを無効にします。
  2. 一般的な弱いパスワードをパスワードとして使用しないでください。
  3. 定期的にパスワードを変更してください。
  4. FTP サービスを最新バージョンに更新してください。
  5. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

SSH の弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  SSH の弱いパスワードの脆弱性は、Linux システムのパスワードの長さが短すぎるか、複雑さが不十分であることを指します。たとえば、数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。攻撃者は弱いパスワードを利用して SSH サーバーに直接ログインし、ウェブサイトのコードを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

データベースの弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  データベースの弱いパスワードの脆弱性は、データベース管理者アカウントに対応するパスワードの長さが短すぎるか、複雑さが不十分であることを指します。数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。一度攻撃者が取得すると、データベースシステムに直接ログインし、サーバー上のファイルを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はデータベースを直接操作でき、さらには権限を昇格させてサーバー権限を取得することができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

xxx の弱いパスワード / 空のパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットサーバーに xxx サービスの弱いパスワードの問題が存在することが判明しました。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

  または

  攻撃者はブルートフォース攻撃を通じてターゲットデータベースを完全に制御でき、データ情報を盗んだり、改ざんしたりすることができます。

• 修正提案

  1. アカウントには弱いパスワードを使用しないでください。パスワードの強度は 8 文字以上で、大文字と小文字の数字を混ぜることをお勧めします。
  2. ホワイトリスト IP のみがログインを許可されます。

xxx バックエンドに安全な認証がない

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲット xxx サービスに安全な認証がないことが判明しました。

• 造成される危害

  攻撃者はこの脆弱性を利用してアプリケーションシステムまたは管理システムに直接アクセスし、システム、ウェブページ、データの改ざんや削除を行い、システムやユーザーのデータを不正に取得し、サーバーが侵害される可能性があります。

• 修正提案

  • ユーザー側
    1. 一般的な弱いパスワードをパスワードとして使用しないでください。
    2. 複数のシステムやソーシャルアカウントで同じパスワードを使用しないでください。
    3. 定期的にパスワードを変更してください。
    4. ランダムな値を含むか、ランダムに生成された文字列をシステムパスワードとして使用することをお勧めします。
  • システム側
    1. ユーザーが初回ログイン時にデフォルトのパスワードを変更するか、ユーザーがカスタマイズした初期パスワードを使用するポリシーを強制します。
    2. サーバー側でログインインターフェースに制限を設け、単一の IP が一定時間内に閾値を超えるリクエストを行った場合、30 分間禁止します。
    3. サーバー側でログインインターフェースに制限を設け、単一のユーザーのパスワードが一定時間内に誤った回数が閾値を超えた場合、20 分間禁止します。
    4. パスワードの変更、アカウントの追加など、パスワードポリシーに関与する部分でユーザーに強いパスワードポリシーを強制します（大文字と小文字のアルファベット + 数字 + 特殊文字 + 8 文字以上）。
    5. パスワードポリシーを改善し、情報セキュリティのベストプラクティスとして、パスワードポリシーは 8 文字（含む）以上の文字で、数字、大文字と小文字のアルファベット、特殊文字のうち少なくとも 3 種類を含む必要があります。

FTP の弱いパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、リモート FTP サーバーが弱いパスワードの組み合わせでログインを許可していることが判明しました。

• 造成される危害

  これにより、攻撃者は悪意のあるファイルをアップロードしたり、機密ファイルをダウンロードしたりできる可能性があります。

• 修正提案

  1. 一般的な弱いパスワードをパスワードとして使用しないでください。
  2. 定期的にパスワードを変更してください。
  3. FTP サービスを最新バージョンに更新してください。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

FTP 匿名ログイン

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットホストが開放している FTP サービスが匿名ユーザーのログインを許可していることが判明しました。

• 造成される危害

  ハッカーは弱いパスワードや匿名ログインの脆弱性を利用して FTP サービスに直接ログインし、悪意のあるファイルをアップロードすることでシステム権限を取得し、データ漏洩を引き起こす可能性があります。

• 修正提案

  1. 匿名アクセスを無効にします。
  2. 一般的な弱いパスワードをパスワードとして使用しないでください。
  3. 定期的にパスワードを変更してください。
  4. FTP サービスを最新バージョンに更新してください。
  5. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

SSH の弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  SSH の弱いパスワードの脆弱性は、Linux システムのパスワードの長さが短すぎるか、複雑さが不十分であることを指します。たとえば、数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。攻撃者は弱いパスワードを利用して SSH サーバーに直接ログインし、ウェブサイトのコードを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

データベースの弱いパスワード

脆弱性評価の提案: 高リスク

脆弱性の種類: 認証の欠陥

• 詳細

  データベースの弱いパスワードの脆弱性は、データベース管理者アカウントに対応するパスワードの長さが短すぎるか、複雑さが不十分であることを指します。数字のみ、または文字のみを含む場合など、弱いパスワードは簡単に解読される可能性があります。一度攻撃者が取得すると、データベースシステムに直接ログインし、サーバー上のファイルを読み取ったり、変更したりすることができます。

• 造成される危害

  攻撃者はデータベースを直接操作でき、さらには権限を昇格させてサーバー権限を取得することができます。

• 修正提案

  1. パスワードを変更し、パスワードの複雑さを増やします。たとえば、大文字と小文字のアルファベット、数字、特殊文字を含むようにします。
  2. デフォルトのパスワードを変更し、推測されないようにします。
  3. 強力なパスワードポリシーを指定します。たとえば、30 日ごとにパスワードを変更し、パスワードは過去のパスワードと同じであってはなりません。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

xxx の弱いパスワード / 空のパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲットサーバーに xxx サービスの弱いパスワードの問題が存在することが判明しました。

• 造成される危害

  攻撃者はブルートフォース攻撃を通じて完全にマシンを制御でき、低権限のアカウントでも権限を昇格させてさらなる破壊を行うことができます。

  または

  攻撃者はブルートフォース攻撃を通じてターゲットデータベースを完全に制御でき、データ情報を盗んだり、改ざんしたりすることができます。

• 修正提案

  1. アカウントには弱いパスワードを使用しないでください。パスワードの強度は 8 文字以上で、大文字と小文字の数字を混ぜることをお勧めします。
  2. ホワイトリスト IP のみがログインを許可されます。

xxx バックエンドに安全な認証がない

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: アクセス制御の欠陥

• 詳細

  ペネトレーションテストの過程で、ターゲット xxx サービスに安全な認証がないことが判明しました。

• 造成される危害

  攻撃者はこの脆弱性を利用してアプリケーションシステムまたは管理システムに直接アクセスし、システム、ウェブページ、データの改ざんや削除を行い、システムやユーザーのデータを不正に取得し、サーバーが侵害される可能性があります。

• 修正提案

  • ユーザー側
    1. 一般的な弱いパスワードをパスワードとして使用しないでください。
    2. 複数のシステムやソーシャルアカウントで同じパスワードを使用しないでください。
    3. 定期的にパスワードを変更してください。
    4. ランダムな値を含むか、ランダムに生成された文字列をシステムパスワードとして使用することをお勧めします。
  • システム側
    1. ユーザーが初回ログイン時にデフォルトのパスワードを変更するか、ユーザーがカスタマイズした初期パスワードを使用するポリシーを強制します。
    2. サーバー側でログインインターフェースに制限を設け、単一の IP が一定時間内に閾値を超えるリクエストを行った場合、30 分間禁止します。
    3. サーバー側でログインインターフェースに制限を設け、単一のユーザーのパスワードが一定時間内に誤った回数が閾値を超えた場合、20 分間禁止します。
    4. パスワードの変更、アカウントの追加など、パスワードポリシーに関与する部分でユーザーに強いパスワードポリシーを強制します（大文字と小文字のアルファベット + 数字 + 特殊文字 + 8 文字以上）。
    5. パスワードポリシーを改善し、情報セキュリティのベストプラクティスとして、パスワードポリシーは 8 文字（含む）以上の文字で、数字、大文字と小文字のアルファベット、特殊文字のうち少なくとも 3 種類を含む必要があります。

FTP の弱いパスワード

脆弱性評価の提案: 高リスク、実際の利用点がない場合は中リスクに降格することをお勧めします

脆弱性の種類: 認証の欠陥

• 詳細

  ペネトレーションテストの過程で、リモート FTP サーバーが弱いパスワードの組み合わせでログインを許可していることが判明しました。

• 造成される危害

  これにより、攻撃者は悪意のあるファイルをアップロードしたり、機密ファイルをダウンロードしたりできる可能性があります。

• 修正提案

  1. 一般的な弱いパスワードをパスワードとして使用しないでください。
  2. 定期的にパスワードを変更してください。
  3. FTP サービスを最新バージョンに更新してください。
  4. ホワイトリスト方式を採用し、認可されたホスト IP のみがそのポートにアクセスできるようにし、脆弱性が攻撃者によって悪用されるのを防ぎます。

FTP 匿名ログイン

` 脆弱性評価の提案：高リスク、実際の利用点がない場合は中リスクに降格する