Webアプリケーション
脆弱性診断サービス
一般的なWebアプリケーションの脆弱性から、セッション管理の脆弱性を含むWebアプリケーション診断項目のすべての診断を行います。開発中/運用中のWebアプリケーションにおける脆弱性について徹底的に診断を行いたい場合や、PCI DSSやISMS、IPO関連で診断結果のエビデンスが必要となる場合に最適なサービスです。
こんな状況では
ありませんか?
- Webサイトを新たに公開予定で、セキュリティを強化したい
- Webサイトを公開しているが、脆弱性診断(セキュリティ診断)の経験がない、または長期間実施していない
- 機密情報や金銭を扱うサイトを運営している(ECサイト、個人情報取扱サイト、オンラインゲーム、決済機能など)
- サービス拡大や新機能追加に伴いセキュリティレベルを向上させたい
Webアプリケーション
脆弱性診断サービスの特徴
-
ツール診断&セキュリティ専門家による手動診断のハイブリッド診断
「ツール診断」と「手動診断」を組み合わせたハイブリッド診断により、複雑なWebアプリケーションにも対応できる「広くて深い」診断を実現しています。
ツール診断では、脆弱性項目の特性に合わせて複数の脆弱性診断ツールを使用し、典型的な脆弱性パターンを中心に広範囲な自動検出を行います。
手動診断では、セキュリティ専門家が診断を行い、診断ツールだけでは検出が難しい脆弱性を網羅的に検出します。
ハイブリッド診断により、脆弱性やリスクを効率的に特定いたします。 -
業界標準の脆弱性項目を
漏れなくカバーする診断項目OWASP(Open Web Application Security Project)、WASC(Web Application Security Consortium)、
SANS(SysAdmin, Audit, Networking, and Security)など、代表的なセキュリティ団体が掲げる脆弱性項目は、セキュリティ業界において標準的な位置付けにあり、Webアプリケーション診断がこれらの「脆弱性項目」を網羅しているかは「診断の品質」を量るための一つの目安となります。
サイバーセキュリティクラウドのWebアプリケーション脆弱性診断では、これらの「脆弱性項目」をすべて網羅しています。 -
徹底した事前調査によるご提案
事前調査として、診断前にお客様のWebページに実際にアクセスし、診断対象候補ページを選定し、セキュリティ上の観点からそれらのページの優先順位付を行います。また、選定したページの内容をもとに、実際の診断時にリスクとなり得る箇所を洗い出します。
例えば、運用中のECサイトではクレジットカード決済を行うページがある場合、実際の決済処理が行われる事故を未然に防ぐために、そのページのみを検証環境で診断するなど、安全に診断を行うための対策を事前に提案します。
さらに、診断作業が診断対象サイトに影響を与える可能性がある場合は、アクセスが集中する時間帯を避けて診断を実施するなどの対応をいたします。 -
選べる診断環境
診断方法は、当社検査エリアよりインターネット経由で診断対象にアクセスする「リモート環境」と、お客様指定場所にお伺いして内部ネットワークから診断対象にアクセスする「オンサイト環境」のいずれかより選択が可能です。※
リモート環境とオンサイト環境で、実施する診断項目や診断結果に違いはありません。
※ オンサイトでの診断の場合は、別途オンサイト費用が必要となります。
-
どんなWebアプリケーションでも
診断可能Webアプリケーションは、Webサーバ上で動作するスクリプト言語やミドルウェアを用いた一般的なデータ処理だけでなく、携帯・スマートフォンに特化したもの、AjaxやJSONなどのWeb関連技術を用いたもの、XMLやSOAPなどWebサービス、直接APIを実行するものなど、多様な実装方法が存在します。これらの複雑さのため、単純なWebアプリケーション診断では不十分な場合があります。
サイバーセキュリティクラウドのWebアプリケーション診断サービスは、セキュリティコンサルタントの確かな診断スキルに加え、診断前にサイトの実装内容に応じた診断方法のシミュレーションを行います。これにより、どんなWebアプリケーション環境にも対応する診断が可能です。
お問い合わせ後の
サービスの流れ
-
サービス手順
-
内容
- お客様による作業
- 当社作業
診断項目一覧
Webアプリケーション脆弱性診断サービスは、以下の診断項目の診断を行います。
診断項目 – 認証(Authentication)
| 診断カテゴリ | 診断内容/詳細診断名称 |
|---|---|
| 不適切なセッション期限(Insufficient Session Expiration) |
攻撃者が適切なログインを行うことなく、ログイン後のコンテンツや機能にアクセスできてしまいます。 [詳細診断名称]
|
| もろいパスワード復元の検証(Weak Password Recovery Validation) |
パスワードリマインダにおける検証が弱いと、攻撃者に他のユーザのパスワードを不正に取得・変更・復元させてしまいます。 [詳細診断名称]
|
診断項目 – 承認(Authorization)
| 診断カテゴリ | 診断内容/詳細診断名称 |
|---|---|
| セッションの推測(Session Prediction) |
証明書・セッションの推測は、Webサイトのユーザをハイジャックしたりなりすましたりする方法です。 [詳細診断名称]
|
| 不適切な承認(Insufficient Authorization) |
アクセス権限の高いコンテンツや機能へのアクセスを許可してしまいます。 [詳細診断名称]
|
| 不適切なセッション期限(Insufficient Session Expiration) |
ユーザのセッション情報を盗用しやすくなり、攻撃者が管理者やユーザに成りすますことができます。 [詳細診断名称]
|
| セッションの固定(Session Fixation) |
攻撃者がセッション情報を任意の値に直接変えてしまうことで、管理者やユーザに成りすますことができます。 [詳細診断名称]
|
| セッションの盗難(Session Hijack) |
SSL等を使用して暗号化をしていない場合、攻撃者はセッション情報を容易に取得することができ、管理者やユーザに成りすますことができます。 [詳細診断名称]
|
診断項目 – クライアント側での攻撃(Client-side Attacks)
| 診断カテゴリ | 診断内容/詳細診断名称 |
|---|---|
| コンテンツの詐称(Content Spoofing) |
ユーザをだまし、あるWebサイト(フィッシングサイト)に載っているコンテンツが正規のもので、外部リソースから来ているものではない、と信じ込ませる攻撃技術です。 [詳細診断名称]
|
| クロスサイトトレーシング(Cross Site Tracing) |
Webのヘッダ情報を不正に読み出されてしまいます。これにより、他の脆弱性を利用して管理者や他のユーザに成りすまされてしまいます。 [詳細診断名称]
|
| クロスサイトスクリプティング(Cross Site Scripting (XSS)) |
サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプト(実行コード)を実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。 [詳細診断名称]
|
| クロスサイトリクエストフォージェリ(Cross Site Request Forgery (CSRF)) |
サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。 [詳細診断名称]
|
診断項目 – コマンドの実行(Command Execution)
| 診断カテゴリ | 診断内容/詳細診断名称 |
|---|---|
| バッファ・オーバフロー(Buffer Overflow) |
アプリケーションの予期しないデータを送り、アプリケーションを異常終了させられてしまいます。これにより、Webサーバのサービスを停止させられたり、Webサーバを乗っ取られる危険性があります。 [詳細診断名称]
|
| 書式文字列攻撃(Format String Attack) |
入力された文字列を書式加工する際にプログラムをクラッシュさせたり、不正なコードを実行させられてしまいます。これにより、Webサーバのサービスを停止させられたり、Webサーバを乗っ取られる危険性があります。 [詳細診断名称]
|
| LDAP インジェクション(LDAP Injection) |
LDAPコマンドを不正に使用されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。 [詳細診断名称]
|
| OS のコマンド実行(OS Commanding) |
サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。 [詳細診断名称]
|
| SQL インジェクション(SQL Injection) |
DBサーバへのアクセスを不正に実行されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。 [詳細診断名称]
|
| SSI インジェクション(SSI Injection) |
SSIコマンドを不正に実行されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。 [詳細診断名称]
|
| XMLインジェクション(XML Injection) |
XMLデータにスクリプト等を混入して攻撃されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。 [詳細診断名称]
|
| パラメータ改ざん(Parameter Manipulation) |
パラメータを不正に改ざんされてしまいます。その結果、管理者や他のユーザに成りすまされてしまいます。 [詳細診断名称]
|
| スクリプトの実行(Script Execution) |
許可していないスクリプトを実行されてしまうため、情報の漏えいやWebサイトの改ざんを許してしまいます。 [詳細診断名称]
|
診断項目 – 情報漏えい
(Information Leakage)
| 診断カテゴリ | 診断内容/詳細診断名称 |
|---|---|
| ディレクトリ・インデックシング(Directory Indexing) |
Webサーバ内のファイルを閲覧されることにより、Webサーバ攻撃の足がかりとされてしまいます。 [詳細診断名称]
|
| 情報漏えい(Information Leakage) |
Webサーバから意図していない内部情報が外部に漏えいしてしまいます。 [詳細診断名称]
|
| パスの切り換え(Path Traversal) |
Webブラウザのアドレスバーやファイル名を指定するパラメータなどの箇所から任意のパスを受け付けてしまうため、機密情報などが保管されているパスを指定されることにより情報漏えいにつながります。 [詳細診断名称]
|
| 推測可能なリソースの位置(Predictable Resource Location) |
フォルダ名やファイル名が推測可能な簡単な名称になっているなど、内部のリソースの配置が推測可能な場合、重要な情報や機能が外部に漏えいする危険性があります。 [詳細診断名称]
|
| Webサーバ・アプリケーションの特定(Fingerprinting) |
Webサーバ、Webアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。 [詳細診断名称]
|
診断項目 – ロジックを狙った攻撃(Logical Attacks)
| 診断カテゴリ | 診断内容/詳細診断名称 |
|---|---|
| 機能の悪用(Abuse of Functionality) |
機能の悪用は、Webサイト自体が持つ特徴や機能を利用して、アクセス制御機構を消耗させたり、だましたり、回避したりする攻撃手法です。 [詳細診断名称]
|
| 自動化の停止が不適切(Insufficient Anti-automation) |
ロボットなどによるWebサーバへの連続攻撃を受け、正しいIDやパスワードを探られたり、Webサーバに負荷をかけられたりしてしまいます。 [詳細診断名称]
|
| 不適切なプロセス検証(Insufficient Process Validation) |
Webサイトがアプリケーションにかけていたフロー制御を、攻撃者が回避したり、抜け道を作ったりしてしまいます。 [詳細診断名称]
|
サイバーセキュリティクラウドの
脆弱性診断サービスに関して
ご不明な点がございましたら
お気軽にお問い合わせください