Assessment 脆弱性診断サービス

Webアプリケーション診断

Webアプリケーション診断

近年、情報セキュリティの維持対策は企業の存続を左右しかねない大変重要な課題となっております。中でも、Webサイトからの情報漏洩は依然として後を絶ちません。
その要因の多くが、Webアプリケーションのソフトウェアに存在してしまったセキュリティ上の不具合に起因すると指摘されております。設計や開発の段階で納期や予算が優先され、セキュリティ面の充足度を優先から下げざるを得ないケースから、結果としてWebアプリケーションの脆弱性を引き起こすとも考えられています。

当社の提供サービスが「情報セキュリティサービス基準適合サービスリスト」に登録されました。
FRTの脆弱性診断サービスは、経済産業省の定める「情報セキュリティサービス基準」に適合するサービスとして、独立行政法人情報処理推進機構(IPA)の「情報セキュリティサービス基準適合サービスリスト」に登録されています。

脆弱性の原因と被害例

原因
・アプリケーションの設計、開発ミス
・Webサーバの設定ミスやコンテンツ管理のミス
・バグに対するパッチの適用漏れ
被害例
・個人情報の漏洩
・サービス停止やサーバーのダウン
・Webサイト改ざんによる利益逸失
・社会的信用の失墜

サービス内容

当社のWebアプリケーション診断は、エンジニアの手動診断とツール診断を組み合わせたハイブリット方式によりお客さまのWebアプリケーションに潜在する脆弱性を診断いたします。非破壊型の疑似攻撃を行い、その攻撃に対するシステムのレスポンスによりWebアプリケーションに潜む脆弱性の有無を診断し、診断結果を報告書として提出させていただきます。
診断後も診断したエンジニアが直接報告会を行い、セキュリティリスクに対するベストな対処方法をご説明するなどアフターサポートも充実。
Webアプリケーションの脆弱性診断を通して、「安心」と「信頼」を確保し、お客様のビジネスをご支援いたします。

こんなニーズに最適

CASE 01
現状のWebサイトのリスクやセキュリティレベルを把握したい。
CASE 02
監査対応や委託先から、第三者によるセキュリティチェックを求められている。
CASE 03
Webサイトのソースコードのセキュリティ品質を把握しリスク対策を施したい。
CASE 04
新たに開発したWebサイトの安全性を確認したい。

サービスイメージ

サービスイメージ

特徴

01詳細なヒアリングを通じて、対象システムの特性や期間・コストを明瞭化し、お客さま課題の解決に向けた最適なプランをご提案いたします。

02OWASP TOP10に対応したツールの使用に加え、エンジニアの手動診断によるハイブリットな診断を実現し、最新のセキュリティトレンドや脆弱性動向を網羅した診断を実施いたします。

03危険度の高い脆弱性を検出した場合は、診断期間中であっても診断期間の終了を待たずに即日の速報レポートを提供いたします。

04報告書を提出した後も30日間無償でお客様のご質問にお応えいたします。経験と知識が必要なセキュリティ対策について、技術的な不安を解消しながらセキュリティレベルの向上を図るためのご支援をさせていただきます。

診断項目

SQLインジェクション SQL文を送信することで、データベースへの問い合わせ処理が改ざん可能かを検査します。
OSコマンドインジェクション OSコマンドを送信することで、OSコマンドが実行可能かを検査します。
リモートコード実行 任意のプログラムを送信することで、コードが実行可能かを検査します。
オープンリダイレクト 任意のURLを送信することで、外部コンテンツへリダイレクトさせることが可能かを検査します。
HTTPヘッダインジェクション 改行コード等のデータを送信することで、レスポンスヘッダの分割やページの改ざんが可能かを検査します。
SSIインジェクション SSIコマンドを送信することで、コマンドが実行可能かを検査します。
XPathインジェクション XPathを送信することで、データベースへの問い合わせ処理が改ざん可能かを検査します。
LDAPインジェクション LDAPクエリを送信することで、LDAPサーバへの問い合わせ処理が改ざん可能かを検査します。
XML外部実体参照 XML構文を送信することで、任意の実体が参照可能かを検査します。
安全でないデシリアライゼーション シリアライズしたデータを送信することで、任意のコードが実行可能かを検査します。
ディレクトリトラバーサル ファイルパスを送信することで、任意のファイルにアクセス可能かを検査します。
クロスサイトスクリプティング スクリプトを送信することで、任意のスクリプトの実行や埋め込みが可能かを検査します。
クロスサイトリクエストフォージェリ ユーザが意図しない更新処理等が実行可能かを検査します。
平文通信 重要な情報が暗号化されてない平文で通信されていないかを検査します。
セッションフィクセーション 任意の文字列を送信することで、セッションIDが強制的に指定可能かを検査します。
セッション管理不備 推測困難なセッションIDを使用し、ユーザ管理が問題なく行えているかを検査します。
過度な情報漏えい レスポンス内のサーバ情報やコメント等により、攻撃者に有益な情報が漏えいしていないかを検査します。
不適切なエラー処理 エラーメッセージやWebサーバのデフォルト画面等により、攻撃者に有益な情報が漏えいしていないかを検査します。
サービス運用妨害 大量の文字列を送信することで、バッファオーバーフローやDoS攻撃等の問題が発生しないかを検査します。
セキュリティ設定の不備 レスポンスヘッダに不備はないか、またはサーバ設定に不備はないかを検査します。
ファイルおよびディレクトリの漏えい 公開されていないファイルやディレクトリにアクセス可能かを検査します。
脆弱性を含む製品の使用 既知の脆弱性(CVE)が公表されている製品やバージョンを使用していないかを検査します。
不適切なアクセス制御 認証・認可に不備はないか、リプレイ攻撃が実行可能かを検査します。
NoSQLインジェクション MongoDB等のNoSQLデータベースに対し、インジェクション攻撃が可能かを検査します。
サーバサイドテンプレートインジェクション テンプレートエンジンに対し、インジェクション攻撃が可能かを検査します。
サーバサイドリクエストフォージェリ 外部リクエストの制御に不備はないか、内部リソース等へのアクセスが可能かを検査します。
ユーザID等の調査 認証情報となるユーザID等が推測可能かをチェックします。
証明書の不備 証明書の発行機関や期限、ドメイン等に問題がないかを検査します。
Refererによる情報漏えい GETメソッドでセッションIDやアカウント情報等の重要情報を送信していないかを検査します。
ファイルアップロード・ダウンロードの不備 ファイルのアップロードやダウンロードを行う際に拡張子やファイルの内容等が偽装可能かを検査します。
アプリケーション固有の問題 Cookieやパラメータ等を改ざんすることで、Webアプリケーション独自の脆弱性がないかを検査します。

報告書イメージ

報告書イメージ
サンプル1
イメージ2
サンプル2
イメージ3
サンプル3

サービスの流れ

サービスの流れ