予約サイト、オンラインバンキングなど、Webアプリケーションはお客様のニーズにより様々な機能が実装されており、システムで使用されているプログラミング言語やフレームワークも多岐に渡ります。
組織における情報資産と世の中のIT及びDX化の関連がますます深まる一方で、Webアプリケーションにおける実装上のバグを利用した攻撃により個人情報の流出や利用者ユーザなりすましによる不正操作といった事例が増加しています。
Webアプリケーションの安全性は、開発を担当する会社、個人の設計方法や開発スキルに依存することが多く一般的な脆弱性診断ツールを用いたスキャンでは脆弱性の誤検知や検出漏れが多数発生します。
Webアプリケーション診断では、個々のWebアプリケーションの仕組みや特性も考慮し、アプリケーション内に存在する脆弱性を調査、ご報告させて頂きます。
特徴
経験豊富なエンジニアがツールと手動による診断を組み合わせて、システムに内在する脆弱性を調査します。
PCI DSS、NISTなどのセキュリティ基準にも対応します。
Webアプリケーション診断では、Webアプリケーションにおける最近の動向・脅威等を取りまとめた脆弱性リスト(OWASP Top10)等を参照しています。
お客様のシステム構成や運用状況等を鑑みリモート/オンサイトからの診断等、お客様にとって最適な診断プランをご提案させて頂きます。
診断作業による、お客様へのシステムの影響が懸念される場合は診断の進め方について都度ご相談させて頂き、お客様のシステム、通常業務等の影響が最小限となるよう診断を進めさせて頂きます。
リスクが高い脆弱性が検出された場合は、速報という形で即日お客様へご連絡させて頂きます。
Web診断項目
カテゴリ
概要
認証
- パスワードリマインダー機能
- 認証設定の不備
- ユーザ情報の列挙
- ユーザアカウントの推測
- パスワードポリシー
- ログアウト処理のテスト
セッション管理
- セッションIDの強度
- セッションCookieの属性チェック
- セッションの推測
- セッションフィクセイション
- クロスサイト・リクエストフォージェリ(CSRF)
クライアント側での攻撃
- クロスサイト・スクリプティング(XSS)
- コンテンツの詐称
コマンドの実行
- バッファオーバーフロー
- LDAPインジェクション
- OSコマンド実行
- SQLインジェクション
- コードインジェクション
- IMAP/SMTPインジェクション
- XMLインジェクション
- SSIインジェクション
- XPathインジェクション
- HTTPヘッダ・インジェクション
情報漏えい
- ディレクトリトラバーサル
- 強制ブラウジング
- 推測可能なリソース位置
- 各種情報漏えい
| カテゴリ | 概要 |
|---|---|
| 認証 |
|
| セッション管理 |
|
| クライアント側での攻撃 |
|
| コマンドの実行 |
|
| 情報漏えい |
|
診断方法
作業者によるマニュアル診断 + 診断専用ツールによる自動診断
オプション
再診断/報告会の実施
特定のフレームワークに特化した診断やパフォーマンス測定など、別途ご要望ございましたらご相談ください。
サービスフロー
03-6206-2066