Windows, Mac, Linuxなどで動作するネイティブアプリケーションをあらゆる角度から調査

Windows \ Mac \ Linux などで動作するネイティブアプリケーションにおける脆弱性を網羅的に探索しリスク評価します。
発見した脆弱性は全て詳細に解析したうえで国際基準によるリスク評価を行い、再現例および対策を立案したうえでご報告します。
対象のアプリケーションに対してリバースエンジニアリングによる静的解析と、診断環境における内部状態解析・通信解析・メモリ解析・ストレージ解析・IPC解析などの動的解析とを併用し、脆弱性を探索しリスク評価をおこないます。

 

特徴

対象のアプリケーションに対しリバースエンジニアリングによる静的解析と、診断環境における内部解析・通信解析・メモリ解析・ストレージ解析・IPC解析などの動的解析の両側面から脆弱性を調査し、リスク評価を行います。

 

    • 現実的な脅威を想定し、より深く徹底的に調査

攻撃者が端末の管理者権限である前提のもと、脆弱性を深いレベルで徹底的に診断します。したがって内部状態の追跡はもちろん、セキュアストレージ領域も検証します。

    • 世界レベルの脆弱性診断基準

脆弱性診断基準はOWASP Top10 などが提供する世界レベルの基準に基づいて、継続的に見直し、常に新しい脆弱性情報をより公正に評価いたします。

    • 発見された脆弱性について、再現性の高い報告書を提供することに注力しています。

再現に必要なスクリーンショットや攻撃スクリプトなどのエビデンスを含めお客様の方でも再現可能な形で提供しています。

 

診断項目

カテゴリ 概要
プラットフォームの不適切な使用
  • デバック可能である問題
  • プライバシーの懸念
  • コンポーネントの予期せぬ公開
  • 不適切な特権取得
安全でない通信
  • TLS Interception
  • TLSサーバ証明書検証不備
  • ・セッションの推測
  • 平文通信の検出
  • 汚染可能なWevView
安全でない暗号系
  • データ保護の欠如
  • 暗号の安全性
クライアントコード品質
  • クロスサイトスクリプティング
  • SQLインジェクション
  • OSコマンドインジェクション
  • パストラバーサル
  • スタックバッファオバーフロー
  • サンドボックスエスケープ
  • パラメータ検証不備
リバースエンジニアリング耐性
  • 対象の性的解析において難読化措置が不在であることの立証
カテゴリ 概要
安全でないストレージ
  • 機密情報を含むログ出力
  • 不適切なファイルパーミッション
不適切な認証
  • 認証バイパス
  • 長期認証情報の自動送信
  • セッションの推測
  • 固定認証情報の検出
  • ログアウト機構の欠如
不適切な認可
  • 権限外の操作
  • クライアントによる認可制御
耐タンパ性
  • 不正環境検知機構の欠如
  • 改竄検知機構の欠如
隠し機能の発見
  • 隠し機能の発見
  • テスト機能の発見
  • ディレクトリトラバーサル
  • 不適切な依存関係

 

 

オプション

◆再診断
◆報告会の実施

特定のフレームワークに特化した診断やパフォーマンス測定など、別途ご要望ございましたらご相談ください。

 

サービスフロー