幅広く取り揃えた診断レベルと検証項目により、お客様のご予算と目的に応じて松竹梅の提案をすることが可能です。
Webアプリケーション診断
安心してウェブアプリケーションを利用するために
専門的な知識を持った診断士がウェブアプリケーションを詳しく調査し、問題点を特定します。
そして、問題点に対する改善策や対策を提供し、ウェブアプリケーションの安全性や利便性を向上させるお手伝いをします。
こんな方におすすめ
- Webサイトの脆弱性診断の経験がない
- セキュリティレベルを上げたい
- Webサイトに新しい機能を追加したい
- サイトで個人情報を取り扱っている
4つの特徴
-
ご予算と目的に応じた最適な診断プランを提示します
-
最新の脆弱性や既知の脆弱性を幅広く診断します
国際的な脆弱性データベースであるCVEを中心としながら、最新の攻撃情報や脆弱性情報を常にリサーチして診断に対応できるよう技術検証を続けています。
-
診断期間中から報告書納品までお客様に寄り添います
緊急性の高い脆弱性が発見された場合は、当日か翌営業日には速報いたします。また詳細な報告書納品後も1時間の報告会開催をサービスに付帯しています。
診断フロー
-
Webアプリケーション診断 事前準備
診断要件のヒアリング
専用のヒアリングシートをお送りします。記入が難しい場合は別途見積もりに必要な情報を担当者より確認します。
脆弱性診断実施方法の調整とお見積り
ヒアリングシート受領後、2営業日以内にお見積もりを送付します。
合わせて診断想定スケジュールや準備依頼事項をお伝えすることも可能です -
診断実施
脆弱性診断
当初定めたスケジュールに沿って診断を開始します。各診断プロジェクトに担当者が1名つきますので個別のメールや電話での調整も可能です。
手動診断
検査ツールのみでの診断ではなく、専門家のセキュリティエンジニアによる手動検証やビジネスロジック的な脆弱性も検証します。
-
診断レポート
総合評価
CVSSに基づき発見した脆弱性の評価を行います。
脆弱性詳細
脆弱性の再現手法や修復方法についても明示します。
診断項目
-
入出力処理に関する脆弱性
クロスサイトスクリプティング 利用者から受け取った入力値を利用して構成されるWebページ等で、出力処理の問題により悪意のあるスクリプトを埋め込めるなどの脆弱性がないか診断します。 SQLインジェクションetc データベースを利用する機能で、SQL文の生成方法の問題によりデータベース内の情報の漏洩や改ざんを招く脆弱性がないか診断します。 その他各種インジェクション 利用者から受け取った入力値を他のプログラム等の入力値として利用する機能で、各種文脈上の特殊文字の処理方法の問題等により情報の漏洩や改ざんを招く脆弱性がないか診断します。対象システムにより以下のような様々なケースがありますが、ご利用のシステム構成要素に応じ詳細はお問い合わせください。 ディレクトリトラバーサル 利用者からファイル名やディレクトリ名を受け取る機能で、入力値の取扱の問題により本来アクセスできてはならないデータの漏洩を招く脆弱性がないか診断します。 -
認証認可に関する脆弱性
アカウントロックアウトの不備 認証機能について、試行回数の制限の有無を確認します。 平文による秘密情報の送受信 Webアプリケーションのパスワード等の秘密情報を、HTTPSで暗号化せずに平文で送受信していないか診断します。 強制プラウズ アクセス制御の不備により、認証を要するページに認証なしに直接アクセスできる脆弱性がないかを診断します。 認証の不備 認証機能について、処理の欠陥により迂回を許す脆弱性がないか診断します。 -
セッション管理に関する脆弱性
クロスサイト・リクエスト・フォージェリ 例えば情報の登録、更新、削除などデータに影響を与える機能について、正しい遷移元画面からの実行かの検証がないことにより利用者が意図せぬ行為を実行してしまう問題がないか診断します。 セッション管理方法の不備 WebサーバによるセッションIDの発行、利用、管理全般について、なりすまし行為や情報漏洩を招く脆弱性がないか診断します。 長いセッション有効期限 利用者のセッションIDが、第三者が現実的に特定可能な長期間にわたり固定値であるなどの問題がないか診断します。 Secure属性のないセッション管理用Cookie HTTPSを使用するWebサイトについて、セッションIDや秘密情報を保持するCookieのsecure属性の有無を診断します。 -
Webサーバー設定に関する脆弱性
ディレクトリリスティング ディレクトリにアクセスすることで、Webサーバの設定不備によりディレクトリ内のファイル一覧が表示されないか診断します。 システム情報の表示 Webサーバが出力するヘッダ情報やエラーメッセージ等を含め、各種コンテンツからソフトウェア情報やサーバOS上の情報を表示してしまう脆弱性がないか診断します。 管理画面の検出 攻撃の標的になりかねない管理者機能を提供している管理者用ログイン画面などの存在確認を行います。 TLS / SSL 関連 TLS / SSL (HTTPS)の利用に関して不適切な設定がないか診断します。
よくある質問
-
- Webサイトの脆弱性診断の経験がない
-
診断サービスの特徴から、最適な診断プランまでご提案いたします!
詳しくはお問い合わせください。
Webアプリケーション診断について
もっと詳しく知りたい方はこちらからお問い合わせください
もっと詳しく知りたい方はこちらからお問い合わせください