重大度

脆弱性に割り当てられている重大度は、悪用される可能性に関連付けられたセキュリティリスクを示しています。

確認済み脆弱性

確認済み脆弱性（QID）とは、Web アプリケーションおよび Web アプリケーションプラットフォームが悪意のある攻撃を受けやすくなる、設計上の欠陥、プログラミング上のエラー、設定ミスを指します。確認済み脆弱性の悪用に成功した場合の結果は、セキュリティリスクのレベルに応じて、情報の開示から Web アプリケーションまたは Web アプリケーションプラットフォームの全面的な侵害までさまざまです。Web アプリケーションが完全に侵害されなくても、確認済み脆弱性が悪用されることで、その Web アプリケーションがサイトのユーザに対する攻撃元として利用される恐れがあります。

重大度	レベル	説明
	極小	基本情報（Web サーバのタイプ、プログラミング言語など）の開示により、侵入者が他の脆弱性を検出できる可能性があります。ただし、この情報がなくても、脆弱性の発見が困難になるわけではありません。
	中	侵入者がアプリケーションプラットフォームに関する機密情報（使用中のソフトウェアの正確なバージョンなど）を収集できる可能性があります。この情報を入手した侵入者は、ソフトウェアバージョン固有の既知の脆弱性を簡単に悪用することがあります。その他の機密情報によって、数行のソースコードや非表示のディレクトリが開示される可能性があります。
	重大	このレベルの脆弱性では、誤用や悪用につながる可能性のあるセキュリティ関連情報が開示されます。例えば、ソースコードの開示や、暗号化されていないチャネルでの認証資格情報の転送などがあります。
	危険	侵入者はこの脆弱性を悪用して、非常に機密性の高いコンテンツを取得したり、Web アプリケーションの他のユーザに影響を与えたりすることができます。例えば、特定の種類のクロスサイトスクリプティングや SQL インジェクション攻撃などがあります。
	緊急	侵入者はこの脆弱性を悪用して、Web アプリケーションのデータストアの侵害、他のユーザアカウントからの情報の取得、Web アプリケーションのアーキテクチャ上のホストでのコマンド実行を行うことができます。

潜在的な脆弱性

潜在的な脆弱性とは、Web アプリケーションの攻撃に広く利用される弱点またはエラーがスキャナによって認められたが、その弱点またはエラーが悪用される可能性があるかどうかをスキャナが確認できないことを示します。可能であれば、QID の説明と結果の項には、手動による分析を用いた追跡調査のための情報とヒントが表示されます。例えば、QID のエクスプロイトは、Web アプリケーションのネットワークアーキテクチャなど、スキャナが確認できない特性に影響される可能性があることや、エクスプロイトを確認するには、スキャナによって実施されるテスト内容よりもさらに侵入性の高いテストを行う必要があるといったことが表示されます。

重大度	レベル	説明
	極小	この脆弱性が存在する場合、基本情報（Web サーバのタイプ、プログラミング言語など）が開示され、侵入者が他の脆弱性を見つけ出せる可能性があります。このような状況では、例えば、Web サーバのタイプ、プログラミング言語、パスワード、ファイルパス参照先などの情報が開示される可能性があります。
	中	この脆弱性が存在する場合、基本情報（Web サーバのタイプ、プログラミング言語など）が開示され、侵入者が他の脆弱性を見つけ出せる可能性があります。例えば、ソフトウェアのバージョンやセッションデータが開示され、悪用される可能性があります。
	重大	この脆弱性が存在する場合、侵入者がセキュリティ関連の情報にアクセスし、誤用または悪用する可能性があります。この脆弱性が悪用されると、例えば、サーバの停止や定期サービスの妨害などが発生する可能性があります。
	危険	この脆弱性が存在する場合、侵入者が非常に機密性の高いコンテンツを取得したり、Web アプリケーションの他のユーザに影響を与えたりする可能性があります。
	緊急	この脆弱性が存在する場合、侵入者が Web アプリケーションのデータストアの侵害、他のユーザアカウントからの情報の取得、Web アプリケーションアーキテクチャのホスト上でのコマンド実行を行う可能性があります。このような状況では、例えば、Web アプリケーションが悪用されると、そのユーザが攻撃の標的となる可能性があります。

収集情報

収集情報の問題（QID）には、Web アプリケーションのプラットフォーム、コード、アーキテクチャに関する認識可能な情報が含まれます。また、Web アプリケーションのユーザに関する情報も含まれます。

重大度	レベル	説明
	極小	侵入者が Web アプリケーションプラットフォームに関する機密情報を取得できる可能性があります。
	中	侵入者が Web アプリケーションの内部機能やビジネスロジックに関する機密情報を取得できる可能性があります。
	重大	侵入者が Web アプリケーションの他のユーザの個人特定情報（PII）などの機密性の高いデータを検出できる可能性があります。

機密コンテンツ

機密コンテンツは、使用されるオプションプロファイルに応じて、既知のパターン（クレジットカード番号、社会保障番号）、またはカスタムパターン（文字列、正規表現）に基づいて検出されます。侵入者が機密コンテンツにアクセスしてしまうと、誤用やその他の悪用につながることがあります。

重大度	レベル	説明
	極小	Web サーバの応答に機密コンテンツが見つかりました。サイトのスキャン中に、クレジットカード番号または社会保障番号を入力するフィールドのあるフォームが検出されました。この情報が開示されることにより、機密性が侵害され、侵入者のターゲットとなる場合があります。このため、注意を促しています。
	中	Web サーバの応答に機密コンテンツが見つかりました。具体的には、機密コンテンツの特定のパターン（オプションプロファイルで定義）が検出されました。この情報が開示されることにより、機密性が侵害され、侵入者のターゲットとなる場合があります。このため、注意を促しています。
	重大	Web サーバの応答に機密コンテンツ、具体的には有効な社会保障番号またはクレジットカード情報が見つかりました。この情報が開示されると、機密性が侵害される恐れがあり、侵入者は悪用につながる有効な機密コンテンツにアクセスできるようになります。

潜在的に確認済み

KnowledgeBase で半分赤色/半分黄色の重大度（

など）が割り当てられている脆弱性は、スキャン結果に影響するさまざまな要因のために、場合によって確認されたり確認されなかったりする脆弱性を表しています。脆弱性がスキャン時に確認された場合、結果では赤色の脆弱性として表示されます。確認できない場合、結果では黄色の潜在的な脆弱性として表示されます。さらに、スキャンに適用されたスキャンオプションや、スキャン時に実行されているサービスが原因で、情報が足りずに特定の脆弱性を確認できない場合があります。

重大度について

確認済み脆弱性

潜在的な脆弱性

収集情報

機密コンテンツ

潜在的に確認済み