Webアプリケーション脆弱性診断
サービス内容
専門技術者が脆弱性の有無を調査し堅牢性を評価
検出された脆弱性への改善策も提案
Webサイトは、単なる情報公開の場として用いられるだけでなく、近年では大規模なWebアプリケーションを利用したショッピングモール、ユーザとのコミュニケーション窓口等として益々その重要性が拡大しています。
Webアプリケーション脆弱性診断では、専門技術者の視点から、Webアプリケーションの脆弱性の有無を調査し、検出された脆弱性を利用した攻撃に対するシステムの堅牢性を評価することで、セキュリティ対策が適切に実施されているかを報告いたします。また、指摘事項に対する改善策を提案いたします。
サービスの特長
遷移図を作成し診断対象を明確化
手作業で脆弱性の有無を正確に判断
汎用的なOSやサーバソフトウェアが利用されるプラットフォーム(サーバやネットワーク機器)とは異なり、Webアプリケーションは各社のビジネス形態やシステム構成に応じて独自の作り込みが行われています。そのため、プラットフォームの脆弱性は汎用的な脆弱性スキャナーにより網羅的かつ高精度に検出が可能ですが、Webアプリケーションの脆弱性は、汎用的なWebアプリケーション診断ツールではサイトごとの違いに対応できないため正確に検出できません。そこで、当社のWebアプリケーション診断では、商用のWebアプリケーション診断ツールのみに頼ることなく、専門技術者が手作業診断によって脆弱性を調査し、その再現方法や対策提案を報告いたします。
Webアプリケーション診断ツールの仕組み
および
ツール診断の限界
診断ツールはパターンマッチにより脆弱性の有無を検出できる項目には対応しているが、複雑な操作が必要な場合やあらかじめ脆弱性の有無を判定するための応答が特定できない場合は脆弱性の検出ができない。
診断ツールのクローリング機能の精度が低いため、診断対象を正確に把握できず、 診断対象に診断漏れが生じる。
診断ツールは正常に診断が実施できているかどうかを正確に識別できないため、無効な診断の結果を出力することがある。
診断ツールによる脆弱性の評価は機械的な判断にもとづくものであるため、診断対象Webアプリケーションの構成等に応じた適切な評価が行われない。
上記の欠点を補う観点から、「手作業診断」によるサービスをご提供いたします。
手作業診断による3つのメリット
専門の診断技術者による精度の高い診断結果
Webアプリケーション診断において精度の高い診断結果を得るためには、診断対象Webアプリケーションの機能や構成に応じて診断手法を変更する必要があります。専門の診断技術者による手作業診断により、どのようなWebアプリケーションにも柔軟に対応し、精度の高い診断結果をご報告いたします。
診断の正確性と有効性
専門の診断技術者が、診断対象サイトを手作業で遷移させて診断対象の確認を行うため、診断対象の把握を正確に行うことが可能です。また、診断技術者が診断結果の有効性を常に確認しているため、無効な診断の結果が報告されることはありません。
現実的なセキュリティリスクを反映
検出された脆弱性の危険度は診断技術者が診断対象Webアプリケーションの環境や構成に応じて評価するため、現実的なセキュリティリスクを反映した評価となります。
診断項目
1. ユーザ認証に関する項目 | |
---|---|
典型的な脆弱性 | ・脆弱なパスワードの存在 ・認証設定の不備 ・パスワードリマインダの不備 |
説明 | 認証を迂回して、不正にサービスを利用したり、他人になりすましてアプリケーションを利用したりすることができないか調査します。 |
2. コンテンツアクセス承認に関わる項目 | |
典型的な脆弱性 | ・推測可能なセッションID ・アクセス制御機構の不備 ・セッション終了処理の不備 ・セッションフィクセイション |
説明 | アクセス制御機構を回避して、アクセス許可がないコンテンツにアクセスできないか調査します。 |
3. クライアントを対象とした攻撃に関する項目 | |
典型的な脆弱性 | ・クロスサイトスクリプティング ・コンテンツ詐称 ・HTTPレスポンススプリッティング |
説明 | アプリケーション利用者のブラウザを攻撃することで、任意のスクリプトの実行やコンテンツの詐称ができないか調査します。 |
4. コマンド実行に関する項目 | |
典型的な脆弱性 | ・バッファオーバーフロー ・LDAPインジェクション ・OSコマンド実行 ・SQLインジェクション ・SSIインジェクション ・Xpathインジェクション |
説明 | アプリケーションに不正な入力を行い、アプリケーションの誤動作を引き起こせるか調査します。 |
5. 情報取得に関する項目 | |
典型的な脆弱性 | ・ディレクトリ内容表示 ・ディレクトリトラバーサル ・強制ブラウジング ・各種情報漏えい |
説明 | サーバの設定の不備等を利用して、内部情報の漏えいがあるか調査します。 |
6. アプリケーションの機能の悪用に関する項目 | |
典型的な脆弱性 | ・機能の悪用 ・サービス妨害 ・自動アクセス防止の不備 ・迷惑メールの送信 ・クロスサイトリクエストフォージェリ |
説明 | アプリケーションの構造上や機能上の弱点をついて、各種攻撃が可能か調査します。 |