概要
Deep Security を導入して正しく保護を構成しているにも関わらず、脆弱性診断で脆弱性が報告されることがあります。
詳細
脆弱性診断ツールの中には、OS やアプリケーションの戻り値やバナー情報、各ファイルのバージョン情報などからソフトウェアのバージョンを特定し、ソフトウェアに存在する脆弱性を報告する場合があります。
Deep Securityでは対応する脆弱性への攻撃を検知・防御することが可能ですが、上述のような方法で脆弱性診断ツールを利用する場合は
実際にソフトウェアに対して修正パッチを適用する・バージョンアップを行わない限り Deep Security で保護されている脆弱性が報告されます。
Deep Security を導入しているシステムで脆弱性診断ツールが報告しない脆弱性については以下のようなケースが挙げられます。
- SQL Injection や クロスサイトスクリプティングなどの脆弱性診断を行う際に実際の SQL 文を使用する
- 実証コードを使用して OS・アプリケーションの脆弱性を攻撃する
実際の診断レポートをベースにシステムが守られているかを調査したい場合には、弊社有償サポートにご相談ください。
