Peingで表題の質問をいただきました。長くなるので、こちらで回答します。 イントラ設置のスクラッチ開発の業務システムの脆弱性診断(アプリケーション、プラットフォーム)って、必要なのでしょうか? https://peing.net/ja/q/31832176-ce49-46a4-a5fe-5be6ef5dd508 わざわざ「スクラッチ開発」と断っているのは、「URL構成などが独自なので外部からXSSやCSRF等の受動的攻撃を仕掛けることができない」という趣旨だと推測しました。そういう重要な前提は明記していただきたいです。 しかし、外部からイントラネットのサーバー情報を取得する方法は複数存在します。ウイルス感染がもっとも簡単ですが、ウェブ系の攻撃でも、DNSリバインディングやSSRF攻撃などが使えます。DNSリバインディングにて内部ネットワークを攻撃する例として下記を参照ください。 DNSリ
![イントラ設置の業務システムの脆弱性診断は必要か?|徳丸 浩](https://cdn-ak-scissors.b.st-hatena.com/image/square/8e311657cd15d64ceccb791def48d73c9be8befc/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F11303%2Fprofile_ce79ba54de13553c48f6443e0d10090d.png%3Ffit%3Dbounds%26format%3Djpeg%26quality%3D85%26width%3D330)