セキュリティ診断/脆弱性診断ソースコード診断について
ソースコード診断では対象システムのソースコード一式をご提供いただき、経験豊富な診断士がソースコード診断ツールや目視でのチェックを行い、ソースコード上に存在する脆弱性を洗い出します。外部からの診断では検出することが難しい脆弱性にも対応できます。また、開発工程の途中でも部分的に診断を実施することが可能です。調査結果から具体的な対策方法をご提案いたします。
ソースコード診断の診断対象
- 多くの言語やフレームワークに対応
Java,C/C++,PHP,Rubyなどのプログラミング言語や各種フレームワークに対応しております。
ソースコード診断の特長
ソースコード診断では、開発されたソースコードを直接確認して脆弱性の調査、報告を行います。
Webアプリケーション診断などによる外部からの診断では検出困難な潜在的な脆弱性を洗い出すことが可能です。
診断経験が豊富な診断士による確かな検出力
最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えており、各種セキュリティガイドラインにも対応可能です。
詳細でわかりやすい診断結果報告書の提出
検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明 し、改修に必要な対策方法を詳細に記載することで、システムのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能 です。
柔軟で丁寧なプロジェクト進行
開発の進捗状況に合わせた診断スケジュールの変更にも対応可能で、診断のご依頼が初めてのお客様にも安心 して頂ける丁寧なプロジェクト進行を心がけます。
診断員を交えた診断結果報告会と適切なアフターフォロー
報告会にはプロジェクトに関わった診断員が参加し、開発者様と技術的な質問対応をすることも可能 です。また、報告会に参加される様々な立場の方に寄り添った報告 を行います。報告会後の再診断や改修方法に対するフォローも行います。
弊社が提供するソースコード診断の強み
各業界に豊富な経験があり、各サイト構成毎に同じ脆弱性でも、脆弱性の危険度や評価を変えています。
こんな診断あるかも…
- 手法
-
ツールのみの診断
ツールのみでは誤検知が発生する
価格だけで
決めないで…
レオンなら!
- より詳細な診断テスト
-
診断ツールと目視でのチェック!
サイバーセキュリティ専門スタッフがソースコード診断ツールや目視でのチェックを行い、ソースコード上に存在する脆弱性を洗い出します。
ツールによって検出された脆弱性を一つ一つ丁寧に確認し、適切な報告を行います。
こんな診断あるかも…
- リソース
-
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
無理も
聞きます!
レオンなら!
- 柔軟な対応が可能!
-
開発工程の途中でもOK!
開発工程の途中でも部分的に診断を実施することが可能 です。また、ソースコード診断を実施する上で必要な情報がわからない場合でも弊社の営業スタッフが丁寧にお客様の課題をヒアリングさせていただき、診断内容をご提示させていただきます。
まずはお気軽にご相談ください。必要な診断項目などをご提示いたします。
弊社のソースコード診断はこんな方におすすめです
- どこから手を付けて良いか分からない
- 前回の診断から1年以上が経過している
- セキュリティの専門知識が不足している
- ソースコードの脆弱性診断を行ったことがない
- Webアプリケーション診断では検出困難な潜在的な脆弱性を検出したい
- 自社ソースコードに不安がある
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- 脆弱性診断には興味があるが、予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
ソースコード診断項目
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
インジェクションに関する項目
不正に入力されたデータにより情報漏えいやサイト改ざんなどのアプリケーションの誤動作を引き起こせるか調査します。
| 診断項目 | 調査内容 |
|---|---|
| SQLインジェクション | ユーザー入力が適切にエスケープ・検証されているか確認 |
| コマンドインジェクション | 外部からのコマンドが適切に処理されているか確認 |
| CRLFインジェクション | 改行やキャリッジリターンのインジェクションを調査 |
| クロスサイトスクリプティング | ユーザー入力が適切にエスケープ・サニタイズされているか確認 |
| パストラバーサル | ファイルパスへの不正アクセスを検証 |
| オープンリダイレクト | リダイレクト先のURLが信頼できるものか確認 |
| リモートファイルインクルージョン | 外部からのファイルインクルードが安全か確認 |
ファイルアップロード
ファイルのアップロード機能にて不正なファイルの埋め込みが可能か調査します。
| 診断項目 | 調査内容 |
|---|---|
| サーバー側で実行されるファイルのアップロード | アップロードされたファイルがサーバーで安全に実行されるか確認 |
| クライアント側で実行されるファイルのアップロード | アップロードされたファイルがクライアントで安全に実行されるか確認 |
| 許可されていないファイルのアップロード | 許可されていないファイルタイプのアップロードを検出・制限 |
認証に関する項目
認証強度の確認や認証を迂回して、不正にサービスを利用したり、他人になりすましてアプリケーションを利用したりできないか調査します。
| 診断項目 | 調査内容 |
|---|---|
| 認証回避 | 認証プロセスを回避する可能性がある脆弱性を探索 |
| ログアウト機能の不備や未実装 | ログアウト機能が適切に実装されているか、不備や未実装がないか確認 |
| 過度な認証試行に対する対策不備・欠落 | 過度な認証試行(ブルートフォース攻撃など)に対する適切な対策が行われているか確認 |
| パスワードポリシーと実装の乖離 | 定められたパスワードポリシーとその実際の実装が一致しているか確認 |
| 脆弱なパスワードポリシー | セキュリティに脆弱なパスワードポリシーが設定されていないか確認 |
| 復元可能なパスワード保存 | パスワードが復元可能な形式で保存されていないか確認 |
| パスワードリマインダーの不備 | パスワードリマインダー機能が適切に実装されているか、不備がないか確認 |
認可制御に関する項目
不正に入力されたデータにより権限のない機能の使用や情報へのアクセスができないか調査します。
| 診断項目 | 調査内容 |
|---|---|
| 権限の不正な昇格 | ユーザーが権限を不正に昇格させる可能性がある脆弱性を検出・防止 |
| パラメーター操作による不正な機能の利用 | パラメーター操作を通じて不正な機能を利用する可能性がある脆弱性を検出・防止 |
セッション管理に関する項目
セッションに関する設定不備やなりすましによる機能の悪用が可能か調査します。
| 診断項目 | 調査内容 |
|---|---|
| セッションフィクセイション(固定化) | セッションIDが固定される可能性がある脆弱性を検出し、適切なセッション管理を確保する対策を検討 |
| クロスサイトリクエストフォージェリ | 攻撃者による不正なリクエストが行われる可能性がある脆弱性を検出し、適切な対策を検討 |
| CookieのHttpOnly属性未設定 | セッションIDなどの重要な情報がJavaScriptからアクセス可能である脆弱性を検出し、対策を検討 |
| 推測可能なセッションID | セッションIDが推測可能な場合の脆弱性を検出し、セッションIDの生成や管理方法を確認 |
情報漏えいに関する項目
アプリケーションの不備により情報漏えいが発生していないか調査します。
| 診断項目 | 調査内容 |
|---|---|
| クエリー文字列情報の漏えい | URLのクエリー文字列から機密情報が漏えいしていないか確認 |
| ブラウザーキャッシュからの情報漏えい | ブラウザのキャッシュに機密情報が残らないように確認 |
| パスワードフィールドのマスク不備 | パスワード入力フィールドが適切にマスクされているか確認 |
| エラーメッセージによる情報露出 | エラーメッセージに機密情報が含まれないか確認 |
| 機微情報の表示 | ユーザーに機密情報が表示されないように確認 |
| HTTPS利用時のsecure属性がない機微Cookie | HTTPS接続時にもsecure属性が設定されたCookieが使用されているか確認 |
| 機微情報のCookieへの平文保存 | Cookieに機密情報が平文で保存されていないか確認 |
不要なファイルの存在
不要なファイルによる情報漏えいや公開すべきでない画面にアクセスできないか調査します。
| 診断項目 | 調査内容 |
|---|---|
| バックアップファイルの存在 | バックアップファイルが残っていないか確認 |
| サンプルファイルの存在 | 不要なサンプルファイルが残っていないか確認 |
既知の脆弱性
既知の脆弱性の存在するソフトウェアを利用していないか調査します。
実施フロー
診断対象確認
診断対象の確認及びヒアリングをさせて頂きます。
総ステップ数(行数)をご提示頂くか、ソースコード一式をご提示頂き弊社にて対象ステップ数を確認いたします。
ご提案
診断範囲及び診断内容の提案及びお見積書を提出させて頂きます。
診断スケジュールの調整をさせて頂きます。
お申し込み
必要事項を記載し注文書の送付をお願いします。
診断
診断実行中に重大な脆弱性が発覚した場合は速報にて通知します。
レポート
診断完了後、約5営業日以内に診断報告書を提出させて頂きます。
※オプションにて報告会も実施させて頂きます。