SSG head title

Webアプリケーション診断 診断項目

診断項目一覧

 Webアプリケーション診断では、以下の診断項目を診断しています。

診断項目 - 認証(Authentication)

認証を使用しているウェブサイトで適切に認証が実施されているか診断を行います。

診断カテゴリ 診断内容/詳細診断名称
不適切な認証
(Insufficient Authentication)

攻撃者が適切なログインを行うことなく、ログイン後のコンテンツや機能にアクセスできてしまいます。

[詳細診断名称]

  • アクセス制御の欠如
  • ファイルに対するアクセス制御の欠如
  • ログイン機能の不備
もろいパスワード復元の検証
(Weak Password Recovery Validation)

パスワードリマインダにおける検証が弱いと、Web サイトが攻撃者に他のユーザのパスワードを不正に取得・変更・復元させてしまいます。

[詳細診断名称]

  • パスワードリマインダ機能の不備
診断項目 - 承認 (Authorization)

認証後のセッション管理やパスワード管理に問題が無いか診断を行います。

診断カテゴリ 診断内容/詳細診断名称
セッションの推測
(Session Prediction)

証明書・セッションの推測は、Web サイトのユーザをハイジャックしたりなりすましたりする方法です。

[詳細診断名称]

  • ユーザ識別の欠如
  • ID 空間の小さすぎるセッション追跡パラメータの使用
  • 規則的なセッション追跡パラメータの使用
  • 推測可能なセッション追跡パラメータの使用
  • URL パラメータによるセッション追跡
  • 外部サイトへのリンクでセッション追跡パラメータが Referer として漏えい
不適切な承認
(Insufficient Authorization)

アクセス権限の高いコンテンツや機能へのアクセスを許可してしまいます。

[詳細診断名称]

  • 異なるセッションで同一セッション追跡パラメータの使用
不適切なセッション期限
(Insufficient Session Expiration)

ユーザのセッション情報を盗用しやすくなり、攻撃者が管理者やユーザに成りすますことができます。

[詳細診断名称]

  • 永続的 cookie の使用
  • ログアウト機能の欠如
  • ログアウト後のサーバセッションの残存
  • サーバセッションの長時間にわたる残存
セッションの固定
(Session Fixation)

攻撃者がセッション情報を任意の値に直接変えてしまうことで、管理者やユーザに成りすますことができます。

[詳細診断名称]

  • セッション固定攻撃
セッションの盗難
(Session Hijack)

SSL等を使用して暗号化をしていない場合、攻撃者はセッション情報を容易に取得することができ、管理者やユーザに成りすますことができます。

[詳細診断名称]

  • cookie によるセッション追跡
  • 暗号化されないアクセスに個人情報が含まれる
  • 暗号化されないアクセスにセッション追跡パラメータが含まれる
  • 暗号化されないページへのリンクでセッション追跡パラメータが Referer として送出
  • セキュアでない cookie の使用
  • 暗号化されないページへのリンクでセッション追跡用 cookie が平文で送出
診断項目 - クライアント側での攻撃(Client-side Attacks)

クライアント側から行われる攻撃に対する診断を行います。

診断カテゴリ 診断内容/詳細診断名称
コンテンツの詐称
(Content Spoofing)

ユーザをだまし、あるWeb サイト(フィッシングサイト)に載っているコンテンツが正規のもので、外部リソースから来ているものではない、と信じ込ませる攻撃技術です。

[詳細診断名称]

  • クロスサイトスクリプティング
クロスサイト
トレーシング
(Cross Site Tracing)

ウェブのヘッダ情報を不正に読み出されてしまいます。これにより、他の脆弱性を利用して管理者や他のユーザに成りすまされてしまいます。

[詳細診断名称]

  • TRACEメソッドによるAuthorizationヘッダ漏えいの可能性
クロスサイト
スクリプティング
(Cross Site Scripting (XSS))

サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプト(実行コード)を実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。

[詳細診断名称]

  • クロスサイトスクリプティング
クロスサイト
リクエストフォージェリ
(Cross Site Request Forgery (CSRF))

サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。

[詳細診断名称]

  • クロスサイトリクエストフォージェリ
診断項目 - コマンドの実行(Command Execution)

コマンド実行により行われる攻撃に対する診断を行います。

診断カテゴリ 診断内容/詳細診断名称
バッファ・オーバフロー
(Buffer Overflow)

アプリケーションの予期しないデータを送り、アプリケーションを異常終了させられてしまいます。これにより、ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。

[詳細診断名称]

  • バッファオーバーフロー
書式文字列攻撃
(Format String Attack)

入力された文字列を書式加工する際にプログラムをクラッシュさせたり、不正なコードを実行させられてしまいます。これにより、ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。

[詳細診断名称]

  • パラメータの改ざん
LDAP インジェクション
(LDAP Injection)

LDAPコマンドを不正に使用されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • LDAPインジェクション
OS のコマンド実行
(OS Commanding)

サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • コマンドインジェクション
SQL インジェクション
(SQL Injection)

DBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • SQLインジェクション
SSI インジェクション
(SSI Injection)

SSIコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • SSIインジェクション
XMLインジェクション
(XML Injection)

XMLデータにスクリプト等を混入して攻撃されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • Webサービスの脆弱性
パラメータ改ざん
(Parameter Manipulation)

パラメータを不正に改ざんされてしまいます。その結果、管理者や他のユーザに成りすまされてしまいます。

[詳細診断名称]

  • パラメータの改ざん
  • hiddenフィールドの不正操作
スクリプトの実行
(Script Execution)

許可していないスクリプトを実行されてしまうため、情報の漏えいやウェブサイトの改ざんを許してしまいます。

[詳細診断名称]

  • バックドア、デバッグオプション
診断項目 - 情報漏洩(Information Leakage)

ウェブサーバから情報が漏えいする可能性が無いか診断を行います。

診断カテゴリ 診断内容/詳細診断名称
ディレクトリ・
インデックシング
(Directory Indexing)

ウェブサーバ内のファイルを閲覧されることにより、ウェブサーバ攻撃の足がかりとされてしまいます。

[詳細診断名称]

  • ディレクトリリスティング
情報漏洩
(Information Leakage)

ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。

[詳細診断名称]

  • HTML中のコメント
  • クレジットカード番号の表示
  • パスワードの出力
パスの切り換え
(Path Traversal)

ウェブブラウザのアドレスバーやファイル名を指定するパラメータなどの箇所から任意のパスを受け付けてしまうため、機密情報などが保管されているパスを指定されることにより情報漏えいにつながります。

[詳細診断名称]

  • ディレクトリトラバーサル
推測可能なリソースの
位置
(Predictable Resource Location)

フォルダ名やファイル名が推測可能な簡単な名称になっているなど、内部のリソースの配置が推測可能な場合、重要な情報や機能が外部に漏えいする危険性があります。

[詳細診断名称]

  • 強制ブラウジング
  • バックアップファイルの検出
ウェブサーバ・アプリケーションの特定
(Fingerprinting)

ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。

[詳細診断名称]

  • サードパーティ製品の設定ミス
診断項目 - ロジックを狙った攻撃(Logical Attacks)

ウェブサーバやウェブアプリケーションの持つ機能を狙った攻撃が可能か診断を行います。

診断カテゴリ 診断内容/詳細診断名称
機能の悪用
(Abuse of Functionality)

機能の悪用は、Web サイト自体が持つ特徴や機能を利用して、アクセス制御機構を消耗させたり、だましたり、回避したりする攻撃手法です。

[詳細診断名称]

  • http 上のログイン画面
  • ルートフレームが http にあるサブフレーム上のログイン画面
自動化の停止が不適切
(Insufficient Anti-automation)

ロボットなどによるウェブサーバへの連続攻撃を受け、正しいIDやパスワードを探られたり、ウェブサーバに負荷をかけられたりしてしまいます。

[詳細診断名称]

  • URL パラメータによるセッション追跡
不適切なプロセス検証
(Insufficient Process Validation)

Web サイトがアプリケーションにかけていたフロー制御を、攻撃者が回避したり、抜け道を作ったりしてしまいます。

[詳細診断名称]

  • アクセス制御の欠如