2024年3月に、Pivot-Formの年次脆弱性診断が外部専門機関によって実施されました。

診断概要

診断は2024年2月下旬から2024年3月上旬まで行われ、その後2024年5月上旬に再診断が行われました。
診断対象はPivot-FormのWebアプリケーションで、マニュアル診断と診断専用ツールを併用して行われました。

主な診断項目は次の通りです。

• 入出力処理：クロスサイトスクリプティング
• 入出力処理：SQLインジェクション
• 入出力処理：コマンドインジェクション
• 入出力処理：ディレクトリトラバーサル
• 入出力処理：ファイルアップロード
• 入出力処理：HTTPヘッダインジェクション
• 入出力処理：フィッシング詐欺サイトへの誘導
• 入出力処理：パラメータ改ざん
• 入出力処理：メールの第三者中継
• 認証：ログインフォームに関する調査
• 認証：ログインエラーメッセージの調査
• 認証：ログイン・個人情報の送受信に関する調査
• 認証：アカウントロック機能
• 認証：ログアウト機能
• 認証：認証の回避
• その他、認可・セッション管理・Webサーバ設定・一般的な脆弱性など

診断結果

診断の結果、緊急かつ重要な問題はありませんでした。
また、指摘されたすべての改善点に対して迅速に対策を講じ、再診断において改善が確認されました。

主な改善点

以下は診断結果に基づき対策を実施した主な改善点です：

1. ユーザー入力の検証強化
2. セッション管理の改善
3. エラーメッセージの適切な管理

Pivot-Formは今後も定期的に脆弱性診断を実施し、セキュリティの向上に努めてまいります。