Webアプリケーションを攻撃者目線で様々な擬似攻撃を行い、内在する脆弱性を徹底的に調査

予約サイト、オンラインバンキングなどのWebアプリケーションは、お客様のニーズにより様々な機能が実装されております。
そのため、安全性は開発を担当する会社や個人の設計方法、開発スキルに依存することが多く、僅かな実装上のバグを利用した攻撃によって「個人情報の流出」や利用者になりすました「不正操作」といった事例が増加しています。

 

特徴

 

想定されるリスク

 

Web診断項目

カテゴリ 概要
認証
  • パスワードリマインダー機能
  • 認証設定の不備
  • パスワードポリシー
  • ログアウト処理のテスト
セッション管理
  • セッションIDの強度
  • セッションCookieの属性チェック
  • ・セッションの推測
  • セッションフィクセイション
  • クロスサイトリクエストフォージェリ
クライアント側での攻撃
  • クロスサイト・スクリプティング(XSS)
  • コンテンツの詐称
コマンドの実行
  • バッファオーバーフロー
  • LDAPインジェクション
  • SQLインジェクション
  • コードインジェクション
  • IMAP/SMTPインジェクション
  • Xpathインジェクション
  • HTTPヘッダインジェクション
情報漏えい
  • ディレクトリトラバーサル
  • 強制ブラウジング
  • ディレクトリトラバーサル
  • 推測可能なリソース位置
  • 各種情報漏えい

 

診断方法

診断員によるマニュアル診断
手動による診断は、権限昇格や他のユーザの情報を参照・操作できてしまう認可制御の不備などを発見するために有効です。
手動で操作しないと検出できない脆弱性もあるため、手動診断によって攻撃者の視点からプログラムの動きを検証することが重要になります。

診断専用ツールによる自動診断
既知の脆弱性や設定ミスの検出に対しては、多くのWebページを短時間で診断できるツールが有効です。検索、サービス予約、受付などの機能を搭載したWebアプリケーションに対し、ツールから自動的にコマンドや文字列を送って、応答からセキュリティ上の不備を検出します。

 

 

オプション

特定のフレームワークに特化した診断やパフォーマンス測定など、別途ご要望ございましたらご相談ください。

 

サービスフロー