WEB
アプリケーション診断
WEB Application Assessment
Webアプリケーションへ攻撃者の目線で様々な類似攻撃を行い、
内在する脆弱性を徹底的に調査
予約サイトやオンラインバンキングなどのWebアプリケーションは、さまざまな機能がお客様のニーズに応じて実装されています。
しかし、その安全性は開発会社や個人の設計手法やスキルに依存することが多くなります。
そのような背景から、実装上のわずかなバグを悪用した攻撃は増加傾向にあり、「個人情報の流出」や利用者になりすました「不正操作」といった被害が相次いでいます。
ベルウクリエイティブのWebアプリケーション診断では、攻撃者の視点に立ってさまざまな攻撃シミュレーションを行います。
さらに、内在する脆弱性を徹底的に調査し、アプリケーションをサイバーアタックの脅威から守るための万全な対策を講じます。
特長
世界水準のセキュリティ基準に対応
NIST,PCI DSS,OWASP Top10などグローバルセキュリティ基準を採用し、頻発する不正アクセスや新しい攻撃方法に対応します。
ツールと手動によるハイブリット診断
診断ツールの効率を活かしながら、ご認知や識別しにくい脆弱性を、経験豊富なエンジニアによって徹底的に手動で調査します。
緊急速報や分かりやすい報告書
リスクが高い脆弱性が検出された場合は、速報という形で即日お客様へご連絡させていただきます。検出された脆弱性の詳細や再現方法及び対策などわかりやすく解説しております。
お客様だけの最適なプランをご提案
システムへの影響を懸念される場合は、システム構成や運用状況などから総合的に判断し、通常業務の影響が最小限となるよう進め方について都度ご相談させていただきます。
想定されるリスク
診断項目
認証
- パスワードリマインダー機能
- 認証設定の不備
- パスワードポリシー
- ログアウト処理のテスト
セッション管理
- セッションIDの強度
- セッションCookieの属性チェック
- セッションの推測
- セッションフィクセイション
- クロスサイトリクエストフォージェリ
クライアント側での攻撃
- クロスサイト
- スクリプティング(XSS)
- コンテンツの詐称
コマンドの実行
- バッファオーバーフロー
- LDAPインジェクション
- SQLインジェクション
- コードインジェクション
- IMAP/SMTPインジェクション
- SSIインジェクション
- Xpathインジェクション
- HTTPヘッダインジェクション
情報漏えい
- ディレクトリトラバーサル
- 強制ブラウジング
- 推測可能なリソース位置
- 各種情報漏えい
診断方法
診断員によるマニュアル診断
手動による診断は、権限昇格や他のユーザの情報を参照・操作できてしまう認可制御の不備などを発見するために有効です。手動で操作しないと検出できない脆弱性もあるため、手動診断によって攻撃者の視点からプログラムの動きを検証することが重要になります。
診断専用ツールによる自動診断
既知の脆弱性や設定ミスの検出に対しては、多くのWebページを短時間で診断できるツールが有効です。検索、サービス予約、受付などの機能を搭載したWebアプリケーションに対し、ツールから自動的にコマンドや文字列を送って、応答からセキュリティ上の不備を検出します。
サービスフロー
サービスフロー
オプション
特定のフレームワークに特化したパフォーマンス測定など、別途ご要望がございましたら、ご相談ください。