Service
Webアプリケーション
脆弱性診断サービス
Webアプリケーション脆弱性診断サービスは、Webアプリケーションに対して多角的な診断や疑似攻撃を実施し、Webアプリケーションに内在する脆弱性を検出するサービスです。
導入メリット
- POINT1 Webアプリケーションに合わせて、診断内容をご提案いたしますので、無駄なく適切な範囲の診断が可能です。
- POINT2 IPAのチェック項目や、OWASP※Top10などを検査基準としているため、客観性の高い診断が可能です。
- POINT3 セキュアコーディングなどの対策もご提案いたしますので、将来にわたってアプリ開発の品質を向上できます。
OWASP…Open Web Application Security Projectの略。Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。
Webアプリケーション脆弱性診断サービスの概要
Webアプリケーション脆弱性診断項目
診断カテゴリ | 説明 |
---|---|
クロスサイトスクリプティング | セッションIDの漏洩や偽装コンテンツの表示などの被害を発生させる悪意あるJavaScriptの導入対策の有無を診断 |
SQLインジェクション | データベースを不正利用するSQL構文挿入対策の有無を診断 |
コマンドインジェクション | サーバーを不正操作するコマンド挿入対策の有無を診断 |
パラメータの改ざん | アプリケーションを不正操作するパラメータ改ざん対策の有無を診断 |
クロスサイトリクエストフォージェリー | 利用者が意図しないアプリケーション操作対策の有無を診断 |
強制ブラウジング | ディレクトリリスト表示の有無、コンテンツ公開フォルダにおける非公開にすべきファイルの有無などコンテンツの管理状態を診断 |
セッションハイジャック | セッションIDを不正利用した、なりすまし行為対策の有無を診断 |
アプリケーションクオリティテスト | アプリケーションエラーを発生させる不正なパラメータ対策の有無を診断 |
アプリケーションプライバシーテスト | 機密情報が含まれるコンテンツに対する暗号化適用の有無を診断 |
既知の脆弱性 | ソフトウェアのアップデート実施状態、カスタマイズ設定の運用状態など、Webサーバーの運用状態を診断 |
コンテンツセキュリティ | コメント文などにおける機密情報の記載の有無を診断 |
バックドアとデバッグオプション | アプリケーションに存在するデバッグモードやバックドアの有無を診断 |
バッファオーバーフロー | パラメータに長大な文字列を定義することによるアプリケーションエラーや誤動作の有無を診断(C言語のみ)
PHP、Javaなど言語使用によりバッファオーバーフローが存在しない場合は診断の対象外となります。 |
脆弱性診断サービスの流れ
以下は基本的なサービスの流れです。ご要望に応じて報告内容を解説する報告会も開催いたします。
報告書サンプル
①検証結果サマリー
②検出された脆弱性情報
③脆弱性の再現手順
④対処方法
報告概要とアフターフォロー
セキュアコーディングや安全利用ガイドなどから具体策をご提案。問題の修復確認まで実施いたします。
1. 脆弱性の危険度判定
診断内容に応じたリスク項目について危険度を判定し、問題箇所を申告いたします。
2. 具体的な対策
IPA「安全なウェブサイトの作り方」など、診断対象に応じたアプリケーションのセキュアな開発ルールに沿った具体的な対応策を提案いたします。
3. 修正後の確認
診断終了後に脆弱性検出箇所が改修された場合に、改善状況をチェックしアプリケーションの安全を確認いたします。
掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。