Webアプリケーション脆弱性診断

Webアプリケーション脆弱性診断では、お客様のWebサイトの安全性を、専門的な知識を持った経験豊富な技術者がサイトの特性に応じて詳細に調査します。

サービス内容

専門技術者が脆弱性の有無を調査し堅牢性を評価
検出された脆弱性への改善策も提案

Webサイトは、単なる公開情報の場として用いられるだけでなく、近年では膨大なWebアプリケーションを利用したショッピングモール、ユーザとのコミュニケーション窓口として益々その重要性が拡大しています。

本サービスでは、Webアプリケーションにおける脆弱性の有無を、専門技術者の視点から調査します。検出された脆弱性を利用した攻撃に対するシステムの堅牢性を評価することで、セキュリティ対策が適切に実施されているかを報告します。また、指摘事項に対する改善点を提案いたします。

図01 図01

各社のビジネス形態やシステム構成に応じて独自の作り込みが行われているWebアプリケーションの脆弱性を調査

  • SQLインジェクション脆弱性
  • クロスサイトスクリプティング脆弱性
  • ディレクトリトラバーサル
  • アクセス制御機構の不備 など

被害例

  • データベースの不正操作による機密情報流出
  • コンテンツの改ざん
  • 正規ユーザへのなりすまし
  • システム情報の漏えい など

被害例

  • データベースの不正操作による機密情報流出
  • コンテンツの改ざん
  • 正規ユーザへのなりすまし
  • システム情報の漏えい など

サービスの特長

遷移図を作成し診断対象を明確化
手作業で脆弱性の有無を正確に判断

診断実施前にWebアプリケーションの操作ごとで発生するリクエストを遷移図として可視化することにより、診断対象を明確にします。また、手作業で遷移図作成を行うことで、診断ツールが自動的に出力する遷移図と比べ、より正確で分かりやすいものとなります。

図02 図02

汎用的なOSやサーバソフトウェアが利用されるプラットフォーム(サーバやネットワーク機器)に対し、Webアプリケーションは各社のビジネス形態やシステム構成に応じて独自の作り込みが行われています。そのため、Webアプリケーションの脆弱性は、汎用的なWebアプリケーション診断ツールではサイトごとの違いに対応できず、正確に脆弱性を検出できない場合があります。そこで、専門技術者が手作業でWebアプリケーションに応じた脆弱性の検出を行い、その再現方法や対策提案を報告いたします。

手作業診断による3つのメリット

専門の診断技術者による精度の高い診断結果

Webアプリケーション診断において精度の高い診断結果を得るためには、診断対象Webアプリケーションの機能や構成に応じて診断手法を変更する必要があります。専門の診断技術者による手作業診断により、どのようなWebアプリケーションにも柔軟に対応し、精度の高い診断結果をご報告いたします。

診断の正確性と有効性

専門の診断技術者が、診断対象サイトを手作業で遷移させて診断対象の確認を行うため、診断対象の把握を正確に行うことが可能です。また、診断技術者が診断結果の有効性を常に確認しているため、無効な診断の結果が報告されることはありません。

現実的なセキュリティリスクを反映

検出された脆弱性の危険度は診断技術者が診断対象Webアプリケーションの環境や構成に応じて評価するため、現実的なセキュリティリスクを反映した評価となります。

図03 図03

診断項目

本サービス診断項目は以下の基準等をもとに策定しています。

  • 内閣サイバーセキュリティセンター(NISC)「政府機関等の対策基準策定のためのガイドライン」
  • デジタル庁「政府情報システムの管理等に係るサイバーセキュリティについての基本的な方針」
  • 独立行政法人情報処理推進機構(IPA)「安全なウェブサイトの作り方」
  • The Open Web Application Security Project「OWASP TOP 10」
ユーザ認証に関する項目
説明 認証を迂回して不正にサービスを利用したり、他人になりすましてアプリケーションを利用したりすることができないかを調査します。また、暗号化通信の有無やサーバ証明書の設定が適切に行われていることを確認します。
典型的な脆弱性 ・脆弱なパスワードの存在
・認証設定の不備
・アカウントロックアウト機能の不備
・パスワードリマインダの不備
・2要素認証の実装不備
コンテンツアクセス承認に関わる項目
説明 利用者毎の情報を保持する目的で使用されるセッションID について、なりすましによる不正アクセスや個人情報などの漏えいが発生する可能性がないかを調査します。
典型的な脆弱性 ・セッション管理機構の不備
・セッション終了処理の不備
・セッションフィクセイション
・アクセス制御機構の不備
・レースコンディション
クライアントを対象とした攻撃に関する項目
説明 アプリケーション利用者のブラウザを攻撃することで、任意のスクリプトの実行やコンテンツの詐称ができないか調査します。
典型的な脆弱性 ・クロスサイトスクリプティング
・コンテンツ詐称
・HTTPレスポンススプリッティング
・オープンリダイレクト
・HTTPレスポンスヘッダのセキュリティ設定
コマンド実行に関する項目
説明 Webアプリケーションに対して、通常の使用では使用しない文字列等を入力した場合のプログラムの挙動を確認し、サービスの異常停止やOSやデータベースの不正操作、機密情報の漏えいの可能性などを調査します。
典型的な脆弱性 ・バッファオーバーフロー
・LDAPインジェクション
・OSコマンド実行
・SQLインジェクション
・SSIインジェクション
情報取得に関する項目
説明 WebサーバやWeb アプリケーションに添付されているデフォルトページやサンプルページの有無を確認します。また、他のページからリンクされずにサーバ内に隠れて存在するファイルなどを探索することで、予期しない情報が露呈しないことを確認します。
典型的な脆弱性 ・ディレクトリ内容表示
・ディレクトリトラバーサル
・強制ブラウジング
・XML外部実体参照
・各種情報漏えい
アプリケーション機能の悪用に関する項目
説明 アプリケーションの構造上や機能上の弱点をついて、各種攻撃が可能か調査します。
典型的な脆弱性 ・ファイルアップロード機能の悪用
・サービス妨害
・自動アクセス防止の不備
・迷惑メールの送信
・クロスサイトリクエストフォージェリ

ご提供の流れ

お客様

ファイブドライブ

  • お問い合わせ
  • 診断プランのご相談
  • 診断対象の確認・お見積書発行
  • ご契約・診断準備
    (ヒアリングシートへの記入・アカウント発行等)
  • 診断実施(1日8リクエスト程度)・報告書作成
  • 報告会・再診断(オプション)
  • 成果物の確認

お問い合わせ

ご相談、お見積もり等は下記フォームよりお気軽にお問い合わせください。