本記事は、日本国内向けに展開されているWebサービスに潜むリスク、脆弱性を公開することで企業のご担当者様にも
「うちのサイトは大丈夫かな？」と改めて認識していただくための内容になっております。

＊本記事に登場するサイトについては事前に合意の基にsecuasで診断させていただいた内容を公開しております。

1．Webアプリケーション脆弱性診断対象サイトのご紹介【副業支援サービス】

まず、連続企画の第一弾として診断させていただきましたサイトは現在話題の副業及び副収入を得るための支援をしているサービス紹介サイトです

業種：副業支援サービスサイト
診断サイト：サービスサイト
診断ページ数：133ページ

2．Webアプリケーション脆弱性診断結果

リスク合計件数　22件

　■リスク内訳
情報漏えい　　　10件
サイト改ざん　　5件
サービスダウン　4件
なりすまし　　　3件

検出された脆弱性件数　10件

　■脆弱性リスクレベル内訳
Critical　　1件
High　　　2件
Middle　　4件
Low　　　 3件

＊実際の診断結果の詳細ぺージ

3．Webアプリケーション脆弱性診断結果についての考察

今回はサービス紹介ページのみを診断させていただきましたが特筆すべき点としてCriticalなリスクが検知されていることです。
今回検出されているCriticalなリスクは「Path Traversal」という脆弱性になり、事象としては「通常のブラウジングでは表示されないディレクトリに直接アクセスすることで、意図しない情報を表示する」内容になります。

もう少しわかりやすく書くと

「サービス提供者側が開示する予定のないファイルを読み取られてしまう脆弱性」

が検出されております。

「Path Traversal(パストラバーサル)」は「ディレクトリトラバーサル」とも呼ばれておりプログラム内で本来見せるはずでないファイルが見れるようになってしまう脆弱性です。
副業支援のサービスを行っているサイトですので副業をしたい人、副業に関連する企業のデータが複数登録されている可能性もあるサイトですので、
この脆弱性を悪用されると個人情報の漏えいに直結してしまいます。

パストラバーサル攻撃とは>>

今回診断させていただいたサイトは外部の制作会社にサイトを制作してもらいその後メンテナンス等はほとんど行っていない状態とのことでした。
納品時にすでにこの脆弱性があったのか、納品後に発生したのかは今となっては誰もわかりません。

4．まとめ

もし、納品時にこの脆弱性があったのであれば制作会社の不備として修正を依頼できましたが、すでに納品後何年か経ってしまっているため制作会社に修正を依頼できるかも不明な状態。
数百万円をかけて作ったサイトが欠陥品だった可能性が有ったのですが今となっては誰の責任かは追及する方法はありません。
納品時にsecuas(セキュアズ)で診断を実施していれば納品されるサイトが安全な状態かを確認できました。

以上を読んでいただき少しでも自社のサイトに不安が出た方はまずは登録から診断までが5分で完了する「secuas(セキュアズ)」の無料診断を試してください。