セキュリティ診断/脆弱性診断Webアプリケーション診断について
Webアプリケーション診断は、貴社で運用されているWebアプリケーションを攻撃者の視点から検証する診断です。
専門のセキュリティ診断士が様々な攻撃手法を模擬し、潜在的な脆弱性を洗い出し、その影響を評価します。これにより、早期にセキュリティリスクを特定し、適切な対策を講じるための助けとなります。
脆弱性診断結果報告書は、検出した脆弱性について診断対象に応じて丁寧にレポーティングを行います。
Webアプリケーションの診断対象
- お問い合わせフォームがあり、顧客情報を入力するサイト
- お申し込みやアンケート機能などを有するサイト
- ログインなどを行う会員制サイト
- 検索機能を有する情報提供サイト
- ショッピングサイト
- 社内向け業務管理サイト
Webアプリケーション診断の特長
診断経験が豊富な診断士による確かな検出力
最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えており、各種セキュリティガイドラインにも対応可能です。
詳細でわかりやすい診断結果報告書の提出
検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明 し、改修に必要な対策方法を詳細に記載することで、システムのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能 です。
柔軟で丁寧なプロジェクト進行
開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心 して頂ける丁寧なプロジェクト進行を心がけます。
診断員を交えた診断結果報告会と適切なアフターフォロー
報告会にはプロジェクトに関わった診断員が参加し、開発者様と技術的な質問対応をすることも可能 です。また、報告会に参加される様々な立場の方に寄り添った報告 を行います。報告会後の再診断や改修方法に対するフォローも行います。
弊社が提供するWebアプリケーション診断の強み
各業界に豊富な経験があり、各サイト構成毎に同じ脆弱性でも、脆弱性の危険度や評価を変えています。
こんな診断あるかも…
- 手法
-
ツールのみの診断
ツール診断では、得意・不得意がある
価格だけで
決めないで…
レオンなら!
- ツールと手動の診断
-
互いの弱点を補完し合う診断形式
常に2人体制での診断で品質を担保します
こんな診断あるかも…
- リソース
-
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
無理も
聞きます!
レオンなら!
- 自社完結のエンジニア
-
急な状況の変更にも柔軟に対応
レオンは自社のエンジニアのみ で診断を行うため、スケジュールがギリギリだったり、長期のオンサイト、急な状況の変更にも柔軟に対応 します
まずはお気軽にご相談ください。必要な診断項目などをご提示いたします。
弊社のWebアプリケーション診断はこんな方におすすめです
- どこから手を付けて良いか分からない
- 自社Webアプリケーションに不安がある
- Webアプリケーションの脆弱性診断を行ったことがない
- セキュリティの専門知識が不足している
- セキュリティを保護するために、定期的な脆弱性診断を行いたい
- 前回の診断から1年以上が経過している
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- 脆弱性診断には興味があるが、予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
Webアプリケーション診断項目
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
| 項目 | 調査内容 |
|---|---|
| SQLインジェクション | データベースに対するSQLの呼び出し方に不備がないかを調査。 |
| コマンドインジェクション | ユーザー入力により不正にOSコマンドが実行されないかを調査。 |
| CRLFインジェクション | 改行コードを挿入することで意図しないヘッダーフィールドを追加できないかを調査。 |
| クロスサイトスクリプティング | ブラウザ上で任意のスクリプトを実行されたり画面を改ざんされたりしないかを調査。 |
| コンテンツ詐称 | ユーザーに誤解を与える偽のコンテンツを表示し、ユーザーをだます可能性を調査。 |
| LDAPインジェクション | LDAPサーバーへアクセスする際に利用する文字列が外部から入力可能な状態になっており、LDAPの不正利用が可能となっていないかを調査。 |
| 反射型ファイルダウンロード | ファイルの内容を動的に生成可能な状態にあり、マルウェアなどの不正なファイルを生成してダウンロードさせることが可能な状態になっていないか調査。 |
| SSRF | 攻撃文字列を送信可能なWebサーバーなどを踏み台として、外部からは利用できないないように制限されたサーバー内部の機能などを不正に利用可能となっていないか調査。 |
| オープンリダイレクト | 信頼できないリダイレクト先にユーザーを誘導し、攻撃者のページに転送する可能性を調査。 |
| リモートファイルインクルージョン | Webアプリケーションがファイルを読み込む際に意図しない外部ファイルを読み込まないか調査。 |
| ローカルファイルインクルージョン | Webアプリケーションがファイルを読み込む際に意図しない内部ファイルを読み込まないか調査。 |
| パストラバーサル | 公開していないディレクトリのファイルに対して、不正にディレクトリパスを横断することでアクセスできないかを調査。 |
| サーバー側で実行されるファイルのアップロード | サーバー側で実行可能な形式のファイルのアップロードおよび実行が可能であるか調査。 |
| クライアント側で実行されるファイルのアップロード | クライアント側で実行可能な形式のファイルのアップロードおよび実行が可能であるか調査。 |
| クリックジャッキング | Webアプリケーションを透明化して罠サイトに埋め込み、リンクやボタンなどをユーザーにクリックさせることで意図しない操作を実行可能か調査。 |
| 認証回避 | 認証プロセスを回避し、正当な認証なしにシステムにアクセスする可能性を調査。 |
| 認証回避 | 認証プロセスを回避し、正当な認証なしにシステムにアクセスする可能性を調査。 |
| 重要な処理時の再認証 | 重要な操作を行う際に、再度認証を求める仕組みが正しく実装されているか調査。 |
| ログアウト機能の不備や未実装 | ログアウト機能が正しく実装されているか調査。 |
| 過度な認証試行に対する対策不備・欠落 | ブルートフォース攻撃などの対策となるアカウントロックなどの機能が正しく実装されているか調査。 |
| パスワードポリシーと実装の乖離 | パスワードポリシーが設定されているが、実際の実装と乖離していないか調査。 |
| 脆弱なパスワードポリシー | 弱いパスワードを許容するポリシーが設定されているか調査。 |
| 認証情報変更時の通知不備 | ユーザーが認証情報を変更した際、通知が適切に行われていない可能性を調査。 |
| 多要素認証の不備 | 多要素認証の仕組みが正しく実装されているか、また攻撃者の回避手法が存在しないか調査。 |
| 復元可能なパスワード保存 | パスワードを復元可能な状態で保存している可能性を調査。 |
| パスワードリマインダーの不備 | パスワードのリセット手続きやリマインダーの仕組みが正しく実装されているか調査。 |
| パラメータ操作による不正な機能の利用 | URLパラメータやフォームデータの操作により、不正な機能を利用できる可能性を調査。 |
| セッションフィクセーション | 攻撃者がユーザーのセッションIDを設定し、そのセッションを乗っ取る可能性を調査。 |
| クロスサイトリクエストフォージェリー | 利用者が罠サイトを閲覧したことによって、利用者のブラウザから重要な処理を意図せずに実行させらないか調査。 |
| 推測可能なセッションID | セッションIDが予測可能な形式で生成されていないか調査。 |
| クエリーストリング情報の漏えい | URLのクエリーストリングに機微情報など公開されるべきでない情報が含まれていないか調査。 |
| ブラウザーキャッシュからの情報漏えい | キャッシュ制御に不備がないかを調査。 |
| パスワードフィールドのマスク不備 | パスワード入力欄が正しくマスク表示されているかを調査。 |
| エラーメッセージによる情報漏えい | エラーメッセージが機密情報を含んでいないか、または攻撃者に有益な情報を提供していないか調査。 |
| 機微情報の表示 | Webアプリケーション上に機微情報が不適切に表示されていないか調査。 |
| 機微情報のクライアントへの安全ではない保存 | クライアント側に機微情報が保存される際、適切な暗号化やセキュリティ措置が取られているか調査。 |
| HTTPの利用 | WebアプリケーションをHTTPでアクセスできないか調査。 |
| 不要な情報の存在 | Webアプリケーション上に攻撃に有用な情報が存在していないか調査。 |
| ディレクトリリスティング | Webサーバー上に設置されたディレクトリのファイル一覧が閲覧できないか調査。 |
| バージョン情報表示 | 利用されているミドルウェアなどのバージョン情報が露見していないか調査。 |
| セキュリティヘッダーの設定 | レスポンスヘッダーにセキュリティ上有用なヘッダーが設定されているか調査。 |
| 不適切なメディアタイプ | レスポンスヘッダーに設定されたMIMEタイプ(Content-Type)の設定が適切か調査。 |
| バックアップファイルの存在 | 外部に公開する必要のないバックアップファイルやページが存在しないか調査。 |
| サンプルファイルの存在 | 外部に公開する必要のないサンプルファイルやページが存在しないか調査。 |
| 管理者ページの存在 | 外部に公開する必要のない管理者ページにアクセスできないか調査。 |
| デフォルトコンテンツの存在 | 外部に公開する必要のないデフォルトコンテンツが存在しないか調査。 |
| バリデーション不備 | 入力値のバリデーションが不十分で、不正な入力を許容する可能性があるか調査。 |
| シリアライズされたオブジェクト | オブジェクトをシリアライズして保存・転送する際、セキュリティリスクがあるか調査。 |
| XXE | XML外部エンティティの攻撃に対する脆弱性が存在するか、検証と対策の必要性を調査。 |
| 既知の脆弱性 | X既知の脆弱性が存在するミドルウェアやライブラリなどを利用していないか調査。 |
実施フロー
サイト確認
診断対象サイトの確認及びヒアリングをさせて頂きます。
対象サイトのご提示及びテスト用アカウントの発行をお願いします。
対象一覧作成
診断対象サイトの対象一覧を作成させて頂きます。
※テストデータ等のご依頼をさせて頂く場合がございます。
ご提案
診断範囲及び診断内容の提案及びお見積書を提出させて頂きます。
診断スケジュールの調整をさせて頂きます。
お申し込み
必要事項を記載し注文書の送付をお願いします。
※診断開始前にテストデータ作成、ファイアウォール等の設定変更を依頼する場合がございます。
診断
診断実行中に重大な脆弱性が発覚した場合は速報にて通知します。
※診断中にテストアカウント等の準備をご依頼する場合がございます。
レポート
診断完了後、約5営業日以内に診断報告書を提出させて頂きます。
※オプションにて報告会も実施させて頂きます。