Webアプリケーション診断
サービス概要
攻撃者と同様の思考プロセス・攻撃手法にもとづき、診断対象のWebアプリケーションに潜む脆弱性(SQLインジェクションやXSSなど)を網羅的に検査します。
サービスの特性に応じて、多角的な視点から攻撃を試行することで、一般的な脆弱性診断や自動診断ツールでは発見できない脆弱性まで徹底的に洗い出し、対策をご提示します。
サービスの特徴
自動診断ツールと専門家による手動診断を併用した脆弱性診断
各脆弱性に特化した自動診断ツールを使いながらOWASP Top10に準拠した脆弱性診断を実施いたします。また、現役のホワイトハッカーによる手動診断にて、自動診断ツールでは発見出来ない脆弱性まで徹底的に洗い出します。
アプリのソースコードの提供は不要
実際の攻撃者と同様に、サーバーサイドのソースコードを参照することなく診断を行うブラックボックス診断が可能です。
情報セキュリティサービス台帳
弊社のWebアプリケーション診断は、経済産業省の情報セキュリティサービス台帳に記載されています。
023-0008-20
診断項目
弊社のWebアプリケーションの脆弱性診断の項目は、Webセキュリティ上で多発する脅威の中で、危険性が最も高いと判断された項目である「OWASP TOP10」や「ウェブ健康診断仕様(IPA 独立行政法人情報処理推進機構)」の基準に準拠しています。
また、弊社の独自の観点・視点からも脆弱性診断を実施します。
サーバーサイドに関する検査
-
-
-
- SQLインジェクション
- XXEインジェクション
- RCE(リモートコード実行)
- SSRF(サーバーサイドリクエストフォージェリ)
- ディレクトリトラバーサル
- ファイルインクルージョン
- SSTI(サーバーサイドテンプレートインジェクション)
- ファイルアップロードの不備
- IDOR
- Insecure Deserialization
- レースコンディション
- プロトタイプ汚染攻撃
- HTTPリクエストスマグリング
- OSコマンドインジェクション
- HTTPヘッダインジェクション
- メールヘッダインジェクション
- OAuth2.0における設定不備
- Webキャッシュポイズニング
- ビジネスロジックの不備
- CRLFインジェクション
- サブディレクトリの設定不備
- LDAPインジェクション
- バッファオーバーフロー
- JWTにおける認証不備
- NoSQLインジェクション
- ディレクトリリスティング
-
-
クライアントサイドに関する検査
-
-
-
- XSS(クロスサイトスクリプティング)
- CSRF(クロスサイトリクエストフォージェリ)
- Clickjacking
- CSVインジェクション
- オープンリダイレクト
- プロトタイプ汚染攻撃
-
-
設定不備や権限不備などに関する検査
-
-
-
- アカウントロック機能の不備
- ログアウト機能の不備
- 既知のソフトウェアの脆弱性(CVE)
- サブディレクトリの設定不備
- 脆弱なパスワードポリシー
- パスワードリセット機能の不備
- 認証要素(ログインなど)の回避
- APIの権限不備
- Cookieの属性不備
- セッションの有効期限
- CORSの設定不備
- ソースコードの漏洩
-
-
サービスフロー
1、事前調査
サービスの特性に応じて重視される点やリスクの高い機能等を事前にヒアリングいたします。
2、診断実施
診断期間中であっても高リスクの脆弱性発見時には速報でお伝えします。
3、結果報告
発見された脆弱性の再現方法、リスク、対策を記載した診断レポートを提出します。
ご希望に応じて、報告会を開催いたします。
4、対策強度診断
総合評価が一定の水準に達することを目標に、再度診断を実施します。
5、定期診断
初回の診断後も、少なくとも年1回の定期診断を推奨しています。
診断レポートについて
検出した脆弱性は診断結果報告書として、診断終了後5営業日ほどで納品いたします。
実際にお渡しする診断レポートのサンプルがございますので、そちらについてはぜひお問い合わせください。
独自の評価基準による総合評価の算出
診断対象のセキュリティレベルが一定の水準に達するまで、継続的に対策のご協力をします。
使用した診断ツールのアウトプット分析結果を注意事項などの項目に記載します。
診断にて指摘した事項ごとに脆弱性の発生可能性と影響度を計算し、最終的に100点満点で算出します。
報告会について
ご希望に応じて、実際に脆弱性診断を担当した診断員同席のもと診断結果報告会を実施いたします。
診断レポートを基に脆弱性を発見するまでの思考プロセスを解説します。
また、成立しなかった攻撃まで把握することで、診断時点でのセキュリティ対策の効果をより明確にすることができます。
ブラックボックス診断
攻撃者と同じ目線から診断を行うため、ソースコードの提供やセキュリティ対策の解除は必要ありません。
対策強度診断
総合評価が一定の水準に達することを目標に、再度診断を実施します。
前回診断時に検出した脆弱性への対策有無の確認だけではなく、対策によってどの程度強度が向上したかまでご報告いたします。
自動診断ツール(抜粋)
Webアプリケーション診断では、「Burp Suite Professional」や「OWASP ZAP」などのツールを使用します。
プラットフォーム診断/ペネトレーションテストでは、「Nessus」や「OpenVAS」などのツールを使用します。
一斉診断
同じ開発会社で開発されたサービスには似通った脆弱性が多く見られます。
複数の自社サービスを一斉に診断することで費用、時間ともに効率的にセキュリティ対策を実施できます。
定期診断
大型アップデート等の機能追加のタイミングで前回の診断では検出し得なかった脆弱性が発生する可能性があります。
より長期にわたる安全なアプリケーション運営を実現するため、少なくとも年1回の定期診断を推奨しています。