Skip to content

ZAPスキャン: /mypage/withdraw のスクリプト追加 #6674

Open
Open
ZAPスキャン: /mypage/withdraw のスクリプト追加#6674
Assignees
zeniya0000
@nanasess

Description

@nanasess
nanasess
opened on Mar 23, 2026

概要

ZAPセキュリティスキャンにおいて、退会処理(/mypage/withdraw)をカバーするZestスクリプトが存在しません。

背景

PR #6619 のレビュー時に発見しました。WithdrawControllermode=confirmmode=complete で画面遷移しますが、対応する mypage_withdraw.zst がなく、CIのmatrixターゲットにも含まれていません。

対象コントローラー

  • src/Eccube/Controller/Mypage/WithdrawController.php
  • ルート: /mypage/withdraw (GET, POST)
  • mode=confirm: 退会確認画面の表示
  • mode=complete: 退会処理の実行(会員データ論理削除、メール送信、セッション破棄)

セキュリティ上の懸念

退会処理には以下のセキュリティ上重要な処理が含まれるため、スキャン対象とすべきです。

  • 会員データの論理削除
  • メール送信
  • セッション破棄
  • CSRF保護

必要な作業

  1. zap/scripts/mypage_withdraw.zst の作成
    • ログイン → /mypage/withdraw GET → mode=confirm POST → mode=complete POST のシーケンス
    • before_script: admin_create_customer.zst で事前に会員を作成
  2. .github/workflows/zaproxy.yml のmatrixに mypage_withdraw ターゲットを追加

Metadata

Metadata

Assignees

Labels

No labels
No labels

Type

No type

Projects

No projects

Milestone

No milestone

Relationships

None yet

Development

No branches or pull requests

Issue actions