Webアプリ検査の検査項目(検査する脆弱性)は、検査パターンにて設定できます。
検査パターン
検査パターンは以下の5種類の中から選択できます。
-
アドバンス(高度)
- Webアプリケーションの標準的な脆弱性に加え、より多くの脆弱性をカバーした検査パターンです。
スタンダードの内容に加えて、網羅的に脆弱性の検査を行いたい場合にご利用ください。
- Webアプリケーションの標準的な脆弱性に加え、より多くの脆弱性をカバーした検査パターンです。
-
スタンダード(標準)
- Webアプリケーションの標準的な脆弱性をカバーした検査パターンです。
リリース前や年次での定期診断など、品質を重視して検査を行いたい場合にご利用ください。
- Webアプリケーションの標準的な脆弱性をカバーした検査パターンです。
-
シンプル(簡易)
- Webアプリケーションにおいて、最低限確認するべき重要な脆弱性に絞った検査パターンです。
スタンダードに比べて検査時間が短いため、スピードを重視する場合や、頻度高くスキャンする場合にご利用ください。
- Webアプリケーションにおいて、最低限確認するべき重要な脆弱性に絞った検査パターンです。
-
セーフ(安全)
- 診断対象のWebアプリケーションに影響を与えにくい項目に絞った検査パターンです。
対象サーバへの負荷や影響を最小限に抑えてスキャンしたい場合にご利用ください。
- 診断対象のWebアプリケーションに影響を与えにくい項目に絞った検査パターンです。
-
CVE(製品固有の脆弱性)
- 危険度の高い製品固有の脆弱性を検査する検査パターンです。
検査対象の脆弱性は以下のとおりです。- Apache Struts2でのリモートコード実行 (CVE-2023-50164)
- Next.jsにおける認証バイパス (CVE-2025-29927)
- 危険度の高い製品固有の脆弱性を検査する検査パターンです。
※「アドバンス(高度)」と「CVE(製品固有の脆弱性)」は「Enterprise」および「Auditor」プランでご利用いただけます。
上記以外にも、危険度の高い製品固有の脆弱性が新規の発見された場合には、「CVE(製品固有の脆弱性)」に追加されると同時に、その脆弱性に対応した個別の検査パターンも追加されます。発見された脆弱性について単体で検査したい場合には個別の検査パターンをご利用ください。個別の検査パターンは「Standard」プランでもご利用いただけます。
なお、この個別の検査パターンはリリースから概ね半年後に利用できなくなります。以降は「CVE(製品固有の脆弱性)」をご利用ください。
検査パターンの設定方法
検査パターンは、自動スキャンの場合は「高度な設定」、シナリオスキャンの場合は「シナリオスキャン設定」にて設定できます。
自動スキャンの場合
※ 画像は一括設定画面ですが、設定ウィザード画面でも「高度な設定」から検査パターンを設定できます。
シナリオスキャンの場合
検査項目
検査項目(検査する脆弱性)と、検査パターンの対応は以下の通りです。
※ CVE(製品固有の脆弱性)の検査項目は「検査パターン」に記載しております。