診断対象について
- 診断可能な条件
| No | 概要 | 説明 |
|---|---|---|
| 1 | インターネットに公開 | SecuAliveからアクセスが必要な為、インターネットに公開済みである必要があります。 |
| 2 | 固定IPによるアクセスが可能 | ドメイン取得前でも、固定IPによるアクセスが出来れば診断できます。 |
| 3 | IP制限設定が解除済み | 検証用、テストサイトの場合、ほとんどがIP制限によってアクセス制限が行われています。 アクセス元IPアドレスを公開していますので、診断前にアクセス制限を解除してください。 |
- 診断可能な認証方式
| No | 機能名 | 説明 | 備考 |
|---|---|---|---|
| 1 |
 Basic認証
|
サイトに一つBasic認証設定が可能です。 | Path単位でのBasic認証には対応していません。 |
| 2 |
フォーム認証
|
SNSやショッピングサイトでID、パスワードを入力する一般的な認証方式です。 | 画像の情報(崩れた英数字や画像の指定箇所を全てクリック)を入力する必要があるフォーム認証は対応できません。 |
| 3 |
シングルサインオン
|
他サービスを利用したログインにも対応可能です。 | アクセス制限で他サービスのドメインを設定することで、他サービスへのアクセスができるようになります。 |
- 診断可能なデータ形式
| No | 形式名 | 説明 | 備考 |
|---|---|---|---|
| 1 |
Querystring (クエリーストリング) |
URLの後ろの?param1=data¶m2=data2の赤字の部分です。 | URLに含まれるため、簡単に確認することができます。 |
| 2 | URL内の数値PATH | URL内のXXXXX.com/user/1/edit/の赤字の部分です。 | |
| 3 | POSTデータ |
POST https://XXXXX.com/user/1/edit/ HTTP/1.1 Host: XXXXX.com param1=data¶m2=data2 の赤字の部分です。 |
会員登録などで入力するデータのほとんどはPOSTデータとしてサーバーに送信されます。 Querystringと違って簡単に確認することができない形式です。 |
| 4 | マルチパート |
POST https://XXXXX.com/user/1/edit/ HTTP/1.1 Content-Type: multipart/form-data; boundary=----tworks Host: XXXXX.com ----------tworks Content-Disposition: form-data; name="param1" data1 ----tworks-- Content-Disposition: form-data; name="file"; filename="upload.txt" Content-Type: text/plain data2 ----tworks-- の赤字の部分です。 |
ファイルをアップロードする画面では、この形式でサーバーに送信されます。 |
| 5 | Json |
POST https://XXXXX.com/user/1/edit/ HTTP/1.1 Content-Type: application/json Host: XXXXX.com {"param":"data","param":"data2"} の赤字の部分です。 |
APIリクエストでよく使われる形式です。 リスト、ディクショナリの多段形式にも対応しています。 |
| 6 | リクエストヘッダー |
POST https://XXXXX.com/user/1/edit/ HTTP/1.1 Userid: test_user Host: XXXXX.com の赤字の部分です。 |
デフォルトでは診断対象から除外されています。 |
| 7 | Cookie |
POST https://XXXXX.com/user/1/edit/ HTTP/1.1 Content-Type: application/json Cookie: sessionid=iybhg77ur92bsxhh Host: XXXXX.com の赤字の部分です。 |
Cookieを対象とすると診断時間がかなり長くなります。 その為、デフォルトでは診断対象から除外されています。 |
- クローリングでの収集範囲
| No | 説明 | 補足 |
|---|---|---|
| 1 | http、httpsは区別しません。 | http://www.xxxxx.co.jp/をサイト登録している場合は、 https://www.xxxxx.co.jp/ も対象になります。 |
| 2 | ドメイン単位 | http://www.xxxxx.co.jp/をサイト登録している場合は、www.xxxxx.co.jpのドメインが収集対象となり secure.xxxxx.co.jp www.yyyyy.co.jp は対象になりません。 |
| 3 | path配下 | http://www.xxxxx.co.jp/admin/とサイトを登録している場合は、http://www.xxxxx.co.jp/admin/配下が対象となります。 収集対象例: http://www.xxxxx.co.jp/admin/login.php http://www.xxxxx.co.jp/admin/manage/ 収集外対象例: http://www.xxxxx.co.jp/contact.php http://www.xxxxx.co.jp/user/ は対象になりません。 |
- 自動クローリングで登録できないページ(URL)
| No | 説明 | 補足 |
|---|---|---|
| 1 | 動的に作成されるFormやリンク |
Javascriptのような動的プログラムを実行することができません。 その為、プログラムによって動的に作成されるForm、リンクを検知することができません。 |
| 2 | 自動送信リクエスト | ページ読み込み時の自動リクエストや、クリックイベント時のリクエストは検知出来ない為、ページ(URL)を収集できません。 |
- 診断できないページ(URL)について
| No | 説明 | 補足 |
|---|---|---|
| 1 |
送信されたメール内のリンクへアクセスする必要があるページ
|
会員登録、パスワード忘れなどの処理はユーザーIDを入力すると、登録メールアドレス宛にリンクが含まれたメールが 送信されることが多く見られます。 SecuAliveはメールを受信することが出来ないため、診断ができません。 この様なページは メール送信が必要なページの手動診断 と組み合わせて対応することができます。 |
| 2 | ログイン、ログアウトのセッション周り |
一部SecuAliveで診断できる項目もありますが、ログイン、ログアウト周りの詳細な診断はできません。 ログイン部分を手動診断 と組み合わせて対応することができます。 |
| 3 |
Captcha入力、画像選択などが必要なページ
|
プログラムによりアクセスを防止するため、人間が画像から文字を入力したり、画像をクリックしないとアクセスできないページがあります。 SecuAliveではこれらのページは診断できません。 |