Webアプリケーション診断
Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。
Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。
サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。
Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。
Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。
サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。
作業は、目視での異常検知と負荷調整、充分なインターバルをとり、システムへの影響を考慮して障害発生について最大限に配慮して行います。
また、Webアプリケーションのソースコード診断も可能です。
診断項目はIPA※が示す脆弱性を網羅し、「セッション管理の不備」「クロスサイトスクリプティング」などの26項目を実施します。
※IPA(独立行政法人情報処理推進機構)「安全なウェブサイトの作り方」
診断を実施するエンジニアはセキュリティ資格保持者で、最新・最先端のハッキング技術を有しています。
-
多様な診断対象への対応、豊富な診断メニュー
- お客様のご要望に応じて、コストメリットの高いプランをご提案します。
- Webアプリケーションだけでなく、スマホネイティブアプリ、クラウドなどの脆弱性診断にも対応。PCクライアントアプリ等の特殊なアプリ、IPv6などへの診断も実施可能です。
- インターネット経由、オンサイト診断、夜間や休日を利用した診断など、診断方法や場所(リモート/オンサイト)もご相談に応じます
-
診断後の具体策を総合的にご提案
- WebアプリケーションファイアウォールやIDS/IPSといった製品のご提案
- 脆弱性診断の社内実施体制を構築する脆弱性診断ツールの販売・使用トレーニング
- セキュリティ人材の育成・資格取得サービス
- セキュア開発ガイドライン作成
独立行政法人情報処理推進機構(IPA)「情報セキュリティサービス基準適合サービスリスト」に登録
01|お見積り・ご発注
診断対象などを選定の後、お見積書を作成します。診断期間や対象などを決定の上、お見積内容に基づき、ご発注いただきます。
02|事前調整・内容確認書作成
診断内容確認書を作成します。必要に応じて事前の導通確認など細部の確認を行います。スマホアプリ診断の場合、対象ファイルをお預かりします。
03|診断
ご指定の時間帯で診断作業を行います。基本は、平日日中(10時~18時)です。夜間、休日をご希望の場合は、ご契約前にお申し付けください。
04|速報
診断中に緊急度の高い脆弱性が発見された場合、速報としてご連絡します。※ご要望の場合のみ。ご契約時にご依頼ください。
05|結果分析/報告書作成
診断結果を報告書として取りまとめ、納品いたします。※診断終了後10営業日以内
06|報告会
専門エンジニアが内容を説明する報告会を開催します。
07|再診断
脆弱性が検出された箇所をお客様側で改修された後、同様の脆弱性が検出されないかを再度診断します。
Webアプリケーション診断
| No. | 診断項目 | 危険度 | ツール | 手動 | IPA |
|---|---|---|---|---|---|
1 |
セッション管理の不備 |
高 |
○ |
✔ |
|
2 |
セッションフィクセーション |
中 |
○ |
○ |
|
3 |
クロスサイトリクエストフォージェリ |
中 |
○ |
○ |
✔ |
4 |
クロスサイトスクリプティング |
高〜中 |
○ |
○ |
✔ |
5 |
クリックジャンキング |
中 |
○ |
○ |
✔ |
6 |
SQLインジェクション |
高 |
○ |
○ |
✔ |
7 |
OSコマンドインジェクション |
高 |
○ |
○ |
✔ |
8 |
ディレクトリトラバーサル |
高 |
○ |
○ |
✔ |
9 |
SSIインジェクション |
高 |
○ |
○ |
|
10 |
XMLインジェクション |
高 |
○ |
○ |
|
11 |
XPathインジェクション |
高 |
○ |
○ |
|
12 |
XQueryインジェクション |
高 |
○ |
○ |
|
13 |
LDAPインジェクション |
高 |
○ |
○ |
|
14 |
MXインジェクション |
高 |
○ |
✔ |
|
15 |
HTTPレスポンスの分割 |
高 |
○ |
○ |
✔ |
16 |
リモートファイルインクルード |
高 |
○ |
○ |
|
17 |
通信の暗号化 |
中 |
○ |
○ |
|
18 |
証明書の不備 |
中 |
○ |
||
19 |
Referrerによる情報漏洩 |
中 |
○ |
||
20 |
ユーザID等の調査 |
中 |
○ |
✔ |
|
21 |
詳細なエラーメッセージ |
低 |
○ |
○ |
|
22 |
拡張子偽造 |
高〜低 |
○ |
||
23 |
コメント・デバッグ情報 |
高〜低 |
○ |
○ |
|
24 |
アプリケーション固有の問題 |
高〜低 |
○ |
||
25 |
フォーマットストリング |
高〜低 |
○ |
○ |
|
26 |
バッファオーバーフロー |
高〜中 |
○ |
○ |
✔ |
スマートフォン向けWebアプリケーション診断
主な診断項目(一部抜粋)
SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
セッション管理の不備(パラメータ改ざん等)
クロスサイトリクエストフォージェリ(CSRF)
他ユーザーへのなりすまし
セッションフィクセーション
通信の暗号化の不備
証明書の不備 など
診断の実施場所
診断の実施可能日
報告書(例)
