ソースコード診断｜株式会社レオンテクノロジー

ソースコード診断について

ソースコード診断では対象システムのソースコード一式をご提供いただき、経験豊富な診断士が、ソースコード診断ツールや目視でのチェックを行い、ソースコード上に存在する脆弱性を洗い出します。外部からの診断では検出することが難しいソースコード特有の脆弱性にも対応できます。また、開発工程の途中でも部分的に診断を実施することが可能です。調査結果から具体的な対策方法をご提案いたします。

レオンのソースコード診断

診断経験が豊富な診断士による確かな検出力

最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えており、各種セキュリティガイドラインにも対応可能です。

詳細でわかりやすい診断結果報告書の提出

検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明し、改修に必要な対策方法を詳細に記載することで、システムのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能です。

柔軟で丁寧なプロジェクト進行

開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心して頂ける丁寧なプロジェクト進行を心がけます。

診断員を交えた診断結果報告会とアフターフォロー

報告会にはプロジェクトに関わった診断員が参加し、開発者様と技術的な質問対応をすることも可能です。また、報告会に参加される様々な立場の方に寄り添った報告を行います。報告会後の再診断や改修方法に対するフォローも行います。

ソースコード診断項目

※診断項目は脅威の情勢などを考慮して不定期に更新する場合があります。

1.インジェクションに関する項目

○SQLインジェクション／コマンドインジェクション／CRLFインジェクション／クロスサイトスクリプティング／パストラバーサル／オープンリダイレクト／リモートファイルインクルージョン

不正に入力されたデータにより情報漏えいやサイト改ざんなどのアプリケーションの誤動作を引き起こせるか調査します

2.ファイルアップロード

○サーバー側で実行されるファイルのアップロード／クライアント側で実行されるファイルのアップロード／許可されていないファイルのアップロード

ファイルのアップロード機能にて不正なファイルの埋め込みが可能か調査します

3.認証に関する項目

○認証回避／ログアウト機能の不備や未実装／過度な認証試行に対する対策不備・欠落／パスワードポリシーと実装の乖離／パスワードポリシーと実装の乖離／脆弱なパスワードポリシー／復元可能なパスワード保存／パスワードリマインダーの不備

認証強度の確認や認証を迂回して、不正にサービスを利用したり、他人になりすましてアプリケーションを利用したりできないか調査します

4.認可制御に関する項目

○権限の不正な昇格／パラメーター操作による不正な機能の利用

不正に入力されたデータにより権限のない機能の使用や情報へのアクセスができないか調査します

5.セッション管理に関する項目

○セッションフィクセイション（固定化）／クロスサイトリクエストフォージェリ／CookieのHttpOnly属性未設定／推測可能なセッションID

セッションに関する設定不備やなりすましによる機能の悪用が可能か調査します

6.情報漏えいに関する項目

○クエリー文字列情報の漏えい／ブラウザーキャッシュからの情報漏えい／パスワードフィールドのマスク不備／エラーメッセージによる情報露出／機微情報の表示／HTTPS利用時のsecure属性がない機微Cookie／機微情報のCookieへの平文保存

アプリケーションの不備により情報漏えいが発生していないか調査します