SSG head title

Webアプリケーション 診断項目比較と OWASP TOP10 対応

Webアプリケーションの脆弱性診断項目

 ソフテックは、「診断項目、診断仕様」を明確に公開します。選べる診断コースは、コース毎にそれぞれ用途に合わせてWebアプリケーションに対する診断項目および内容が異なります。表中の「Tool診断」は、ツールを利用したパターンマッチによる診断を示します。「手動診断」はソフテックのセキュリティアナリストが、診断最中に得られる情報をフィードバックしながら実施する「人の目」でしか判断できない診断パターンに対応した診断を示します。

 下表の診断項目についての詳細な説明は、以下のページで説明しております。是非、ご覧下さい。ソフテックの診断項目は、他社類似サービスと較べても、その量・品質ともに最高の水準を提供できる診断内容となっております。常に最新の脆弱性やインシデントのトレンドを把握し、診断項目の編集・追加も行っております。

コース毎の脆弱性診断項目の比較

# 診断項目名称 Webアプリケーション
標準診断
Webアプリケーション
特急診断
Tool
診断
手動
診断
Tool
診断
手動
診断
1 クロスサイトスクリプティング ● ● ● ●
2 SQL インジェクション ● ● ● ●
3 コマンドインジェクション ● ● ● ●
4 強制ブラウジング ● ● ● ●
5 ディレクトリトラバーサル ● ● ● ●
6 アクセス制御の欠如 ● ● ● ●
7 ファイルに対するアクセス制御の欠如 ● ● ● ●
8 ユーザ識別の欠如 ● ● ● ●
9 ID 空間の小さすぎるセッション追跡パラメータの使用 ● ● ● ●
10 規則的なセッション追跡パラメータの使用 ● ● ● ●
11 推測可能なセッション追跡パラメータの使用 ● ● ● ●
12 URL パラメータによるセッション追跡 ● ● ● ●
13 外部サイトへのリンクでセッション追跡パラメータが Referer として漏えいする ● ● ● ●
14 cookie によるセッション追跡 ● ● ● ●
15 TRACE メソッドによる Authorization ヘッダ漏えいの可能性 ● ● ● ●
16 暗号化されないアクセスに個人情報が含まれる ● ● ● ●
17 暗号化されないアクセスにセッション追跡パラメータが含まれる ● ● ● ●
18 暗号化されないページへのリンクでセッション追跡パラメータが Referer として送出される ● ● ● ●
19 セキュアでない cookie の使用 ● ● ● ●
20 暗号化されないページへのリンクでセッション追跡用 cookie が平文で送出される ● ● ● ●
21 異なるセッションで同一セッション追跡パラメータの使用 ● ● ● ●
22 永続的 cookie の使用 ● ● ● ●
23 ログアウト機能の欠如 ● ● ● ●
24 ログアウト後のサーバセッションの残存 ● ● ● ●
25 サーバセッションの長時間にわたる残存 ● ● ● ●
26 クレジットカード番号の表示 ● ● ● ●
27 パスワードの出力 ● ● ● ●
28 http 上のログイン画面 ● ● ● ●
29 ルートフレームが http にあるサブフレーム上のログイン画面 ● ● ● ●
30 HTML中のコメント ● ● ● ●
31 hiddenフィールドの不正操作 ● ● ● ●
32 バックアップファイルの検出 ● ● ● ●
33 サードパーティ製品の設定ミス ● ● ● ●
34 LDAP インジェクション ● ● ● ●
35 SSI インジェクション ● ● ● ●
36 XMLインジェクション ● ● ● ●
37 セッション固定攻撃 ● ● ● ●
38 ディレクトリ・リスティング ● ● ● ●
39 クロスサイトリクエストフォージェリ ● ● ● ●
40 ログイン機能の不備 - ● - ●
41 パスワード・リマインダ機能の不備 - ● - ●
42 バッファ・オーバフロー ● ● ● ●
43 パラメータ改ざん ● ● ● ●
44 バックドア、デバッグオプション ● ● ● ●

「OWASP Top 10 2017」対応

 セキュリティ業界において、OWASP(Open Web Application Security Project)、WASC(Web Application SecurityConsortium)、SANS(SysAdmin, Audit, Networking, and Security)などの代表的なセキュリティ団体が掲げるWebアプリケーションの脆弱性項目は、セキュリティ業界において標準的な位置付けにあたり、診断サービスでこれらの「脆弱性項目」を網羅しているかは、「診断サービスの品質」を量るための一つの目安となります。

 以下の表は、OWASP Top Ten Project が「最も危険な 10 種類のセキュリティリスク」と定義する「OWASP Top 10」の最新版(2017年11月20日公開)である「OWASP Top 10 2017」への ソフテックの診断コースの対応表 です。ソフテックのWebアプリケーション診断サービスでは「OWASP Top 10 2017」におけるWebアプリケーションの脆弱性に関するリスクを、全てカバーしております。

OWASP 2017

OWASP Top 10 Application Security Risk項目と弊社診断コースの対応表

OWASP Top 10 2017 Webアプリケーション
標準診断
Webアプリケーション
特急診断
A1-Injection
(インジェクション攻撃)
● ●
A2-Broken Authentication
(認証やセッション管理の不備)
● ●
A3-Sensitive Data Exposure
(機密データの漏洩)
● ●
A4-XML External Entities (XXE)
(XML外部実体参照を利用した攻撃)
● ●
A5-Broken Access Control
(アクセス制御の不備)
● ●
A6-Security Misconfiguration
(セキュリティ設定の不備)
● ●
A7-Cross-Site Scripting (XSS)
(クロスサイトスクリプティング)
● ●
A8-Insecure Deserialization
(安全ではないデシリアライゼーション)
● ●
A9-Using Components with Known Vulnerabilities
(既知の脆弱性を持つコンポーネントの使用)
● ●
A10-Insufficient Logging & Monitoring
(不十分なロギングとモニタリング)
Webアプリケーション自体の脆弱性に関するリスクではないため、対象外 Webアプリケーション自体の脆弱性に関するリスクではないため、対象外

(ご参考)OWASP Top Ten Project

SSG Query