平素より弊社サービスをご利用いただき誠にありがとうございます。
このたび、以下機能を追加いたしましたので、ご案内いたします。

• クライアントサイドテンプレートインジェクションのスキャンルールを追加

この機能は、AeyeScanをご契約中のすべてのアカウントが利用できます。

クライアントサイドテンプレートインジェクションのスキャンルールを追加

背景

テンプレート機能を持つJavaScriptフレームワークは開発スピードを向上させますが、利用方法に不備があったり、古いテンプレートを利用していたりすると、攻撃を受ける可能性があります。
これらのクライアント側で動作するテンプレートエンジンに対して、任意のJavaScriptコードを実行させることができてしまう問題を、クライアントサイドテンプレートインジェクション（CSTI）の脆弱性と呼びます。
この脆弱性により、ユーザの認証情報が奪取されたり、ユーザが意図しない操作を実行させられたりする等の被害を引き起こす可能性があります。

今回、この脆弱性をAeyeScan上で検出可能となるようスキャンルールを追加いたしました。

機能概要

スキャンルールセット「WEBアプリケーションスキャン」を利用して診断する場合は、自動で本スキャンルールも適用されるため、お客様での対応は不要です。

※作成済のカスタムスキャンルールセットには自動で追加されないため、カスタムスキャンルール作成済みの場合は、お客様にて本スキャンルールを追加いただく必要があります。

リリース日

2024年8月10日（土）

最後に

AeyeScanはさらなる精度の向上と新たな価値の提供を目指し、今後も機能追加・改善に努めてまいります。
本アップデートについてご不明な点がございましたら、info@aeyesec.jp までご連絡ください。