初めての CASA Tier2 の動的スキャン(ZAP)で CWE-524 について指摘された件について

この Solution を見ても、はっきり言って何を対応したら良いかわからない。
そもそも、 Informational なので対応する必要無いのでは？とすら思われるが、レポートの提出後に 「CWE-524 の問題が未対応である」という旨のメールが返ってきた。

しかし、それに対して ZAP で上がってきた Alert (Informationalなので厳密にはAlertでも無いが) は逆に、「キャッシュされない」ことに対しての指摘だった。

The response contents are not storable by caching components such as proxy servers. If the response does not contain sensitive, personal or user-specific information, it may benefit from being stored and cached, to improve performance.

ZAP で報告されているURLは、認証済みかどうかによって応答結果が変わるものであるため、 no-store, private がセットされていてキャッシュされないように考慮されていたものだった。

セキュリティ的配慮で no-store, private を設定していることに対し、キャッシュが共有されることを起因とした脆弱性 (CWE-524) の可能性を指摘される、という意味のわからない状況となる。

Non-Storable Content

今回上がってきたのは Non-Storable Content

https://www.zaproxy.org/docs/alerts/10049-1/

このページから何か対応方法がわかるかも？とおもったがやはり対応方法は不明だった。
セキュリティ観点の診断のはずなのに、パフォーマンス向上の観点での話が出てきて混乱させられる...

また、複数の条件が列挙されてて、And 条件 Or 条件がどれにかかってくるのかが非常に読み取りづらい。

結局、文章が意味不明なので、この Alert を出したコードを読むことになる。

https://zenn.dev/snaka/scraps/2786f684de377b

その結果、 レスポンスの Cache-Controle ヘッダに private や no-store が含まれている場合、この Alert を出していることが判明する。 (アプリケーション側で意図的にそうしているので、脆弱性に該当しないという認識)