株式会社レオンテクノロジー

WEB-APPLICATION

Webアプリケーション診断

01

Webアプリケーション診断について

Webアプリケーション診断では貴社で運用されているWebアプリケーションに攻撃者の視点で様々な疑似攻撃を試行し、脆弱性の洗い出しと評価を行います。

Webアプリケーション診断について
02

レオンのWebアプリケーション診断

診断経験が豊富な診断士による確かな検出力

最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えており、各種セキュリティガイドラインにも対応可能です。

詳細でわかりやすい診断結果報告書の提出

検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明し、改修に必要な対策方法を詳細に記載することで、システムのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能です。

柔軟で丁寧なプロジェクト進行

開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心して頂ける丁寧なプロジェクト進行を心がけます。

診断員を交えた診断結果報告会と適切なアフターフォロー

報告会にはプロジェクトに関わった診断員が参加し、開発者様と技術的な質問対応をすることも可能です。また、報告会に参加される様々な立場の方に寄り添った報告を行います。報告会後の再診断や改修方法に対するフォローも行います。

03

Webアプリケーション診断項目

※診断項目は脅威の情勢などを考慮して不定期に更新する場合があります。

 

1.インジェクションに関する項目

  • SQLインジェクション

  • コマンドインジェクション

  • CRLFインジェクション

  • クロスサイトスクリプティング

  • コンテンツ詐称

  • LDAPインジェクション

  • 反射型ファイルダウンロード

  • SSRF

  • オープンリダイレクト

  • リモートファイルインクルージョン

  • ローカルファイルインクルージョン

  • パストラバーサル

もっと見る

2.ファイルアップロードに関する項目

  • サーバー側で実行されるファイルのアップロード

  • クライアント側で実行されるファイルのアップロード

  • 許可されていないファイルのアップロード

もっと見る

3.クリックジャッキング

  • 罠サイト内にサイトが呼び出された際、クリック操作により利⽤者の意図しない処理が実⾏されないか調査します

4.認証・認可に関する項目

  • 認証回避

  • 重要な処理時の再認証

  • ログアウト機能の不備や未実装

  • 過度な認証試行に対する対策不備・欠落

  • パスワードポリシーと実装の乖離

  • 脆弱なパスワードポリシー

  • 認証情報変更時の通知不備

  • 多要素認証の不備

  • 復元可能なパスワード保存

  • パスワードリマインダーの不備

  • パラメータ操作による不正な機能の利用

もっと見る

5.セッション管理に関する項目

  • セッションフィクセーション

  • クロスサイトリクエストフォージェリー

  • 推測可能なセッションID

もっと見る

6.情報漏えいに関する項目

  • クエリストリング情報の漏えい

  • ブラウザーキャッシュからの情報漏えい

  • パスワードフィールドのマスク不備

  • エラーメッセージによる情報漏えい

  • 機微情報の表示

  • 機微情報のクライアントへの安全ではない保存

  • HTTPの利用

  • 不要な情報の存在

もっと見る

7.サーバーの設定に関する項目

  • ディレクトリリスティング

  • バージョン情報表示

  • セキュリティヘッダーの設定

  • 不適切なメディアタイプ

もっと見る

8.不要なファイルの存在に関する項目

  • バックアップファイルの存在

  • サンプルファイルの存在

  • 管理者ページの存在

  • デフォルトコンテンツの存在

もっと見る

9.ロジックに関する項目

  • バリデーション不備

  • シリアライズされたオブジェクト

  • XXE

もっと見る

10.既知の脆弱性に関する項目

  • 既知の脆弱性の存在するソフトウェアを利用していないか調査します

04

実施フロー

1サイト確認
診断対象サイトの確認及びヒアリングをさせて頂きます。
対象サイトのご提示及びテスト用アカウントの発行をお願いします。
 
2対象一覧作成
診断対象サイトの対象一覧を作成させて頂きます。
※テストデータ等のご依頼をさせて頂く場合がございます。
 
3ご提案
診断範囲及び診断内容の提案及びお見積書を提出させて頂きます。
診断スケジュールの調整をさせて頂きます。
 
4お申し込み
必要事項を記載し注文書の送付をお願いします。
※診断開始前にテストデータ作成、ファイアウォール等の設定変更を依頼する場合がございます。
 
5診断
診断実行中に重大な脆弱性が発覚した場合は速報にて通知します。
※診断中にテストアカウント等の準備をご依頼する場合がございます。
 
6レポート
診断完了後、約5営業日以内に診断報告書を提出させて頂きます。
※オプションにて報告会も実施させて頂きます。

その他のサービス

 
 
MORE

CONTACT

お問い合わせ

各サービスに関するお問い合わせ、
セミナー情報や採用情報などについて
お気軽にご相談ください。

TEL.03-5957-1960
営業時間 平日 10:00 - 19:00
お問い合わせフォーム
page top