Webアプリケーション
脆弱性診断サービス

一般的なWebアプリケーションの脆弱性から、セッション管理の脆弱性を含むWebアプリケーション診断項目のすべての診断を行います。開発中/運用中のWebアプリケーションにおける脆弱性について徹底的に診断を行いたい場合や、PCI DSSやISMS、IPO関連で診断結果のエビデンスが必要となる場合に最適なサービスです。

一般的なWebアプリケーションの脆弱性から、セッション管理の脆弱性を含むWebアプリケーション診断項目のすべての診断を行います。開発中/運用中のWebアプリケーションにおける脆弱性について徹底的に診断を行いたい場合や、PCI DSSやISMS関連で診断結果のエビデンスが必要となる場合に最適なサービスです。一般的なWebアプリケーションの脆弱性から、セッション管理の脆弱性を含むWebアプリケーション診断項目のすべての診断を行います。開発中/運用中のWebアプリケーションにおける脆弱性について徹底的に診断を行いたい場合や、PCI DSSやISMS関連で診断結果のエビデンスが必要となる場合に最適なサービスです。
  • ツール診断&セキュリティ専門家による手動診断のハイブリッド診断

    「ツール診断」と「手動診断」を組み合わせたハイブリッド診断により、複雑なWebアプリケーションにも対応できる「広くて深い」診断を実現しています。
    ツール診断では、脆弱性項目の特性に合わせて複数の脆弱性診断ツールを使用し、典型的な脆弱性パターンを中心に広範囲な自動検出を行います。
    手動診断では、セキュリティ専門家が診断を行い、診断ツールだけでは検出が難しい脆弱性を網羅的に検出します。
    ハイブリッド診断により、脆弱性やリスクを効率的に特定いたします。

  • 業界標準の脆弱性項目を
    漏れなくカバー
    する診断項目

    OWASP(Open Web Application Security Project)、WASC(Web Application Security Consortium)、
    SANS(SysAdmin, Audit, Networking, and Security)など、代表的なセキュリティ団体が掲げる脆弱性項目は、セキュリティ業界において標準的な位置付けにあり、Webアプリケーション診断がこれらの「脆弱性項目」を網羅しているかは「診断の品質」を量るための一つの目安となります。
    サイバーセキュリティクラウドのWebアプリケーション脆弱性診断では、これらの「脆弱性項目」をすべて網羅しています。

  • 徹底した事前調査によるご提案

    事前調査として、診断前にお客様のWebページに実際にアクセスし、診断対象候補ページを選定し、セキュリティ上の観点からそれらのページの優先順位付を行います。また、選定したページの内容をもとに、実際の診断時にリスクとなり得る箇所を洗い出します。
    例えば、運用中のECサイトではクレジットカード決済を行うページがある場合、実際の決済処理が行われる事故を未然に防ぐために、そのページのみを検証環境で診断するなど、安全に診断を行うための対策を事前に提案します。
    さらに、診断作業が診断対象サイトに影響を与える可能性がある場合は、アクセスが集中する時間帯を避けて診断を実施するなどの対応をいたします。

  • 選べる診断環境

    診断方法は、当社検査エリアよりインターネット経由で診断対象にアクセスする「リモート環境」と、お客様指定場所にお伺いして内部ネットワークから診断対象にアクセスする「オンサイト環境」のいずれかより選択が可能です。

    リモート環境とオンサイト環境で、実施する診断項目や診断結果に違いはありません。

    ※ オンサイトでの診断の場合は、別途オンサイト費用が必要となります。

  • どんなWebアプリケーションでも
    診断可能

    Webアプリケーションは、Webサーバ上で動作するスクリプト言語やミドルウェアを用いた一般的なデータ処理だけでなく、携帯・スマートフォンに特化したもの、AjaxやJSONなどのWeb関連技術を用いたもの、XMLやSOAPなどWebサービス、直接APIを実行するものなど、多様な実装方法が存在します。これらの複雑さのため、単純なWebアプリケーション診断では不十分な場合があります。

    サイバーセキュリティクラウドのWebアプリケーション診断サービスは、セキュリティコンサルタントの確かな診断スキルに加え、診断前にサイトの実装内容に応じた診断方法のシミュレーションを行います。これにより、どんなWebアプリケーション環境にも対応する診断が可能です。

診断項目一覧

Webアプリケーション脆弱性診断サービスは、以下の診断項目の診断を行います。

診断項目 – 認証(Authentication)

認証を使用しているWebサイトで適切に認証が実施されているか診断を行います。
診断カテゴリ 診断内容/詳細診断名称
不適切なセッション期限(Insufficient Session Expiration)

攻撃者が適切なログインを行うことなく、ログイン後のコンテンツや機能にアクセスできてしまいます。

[詳細診断名称]

  • アクセス制御の欠如
  • ファイルに対するアクセス制御の欠如
  • ログイン機能の不備
もろいパスワード復元の検証(Weak Password Recovery Validation)

パスワードリマインダにおける検証が弱いと、攻撃者に他のユーザのパスワードを不正に取得・変更・復元させてしまいます。

[詳細診断名称]

  • パスワードリマインダ機能の不備

診断項目 – 承認(Authorization)

認証後のセッション管理やパスワード管理に問題がないか診断を行います。
診断カテゴリ 診断内容/詳細診断名称
セッションの推測(Session Prediction)

証明書・セッションの推測は、Webサイトのユーザをハイジャックしたりなりすましたりする方法です。

[詳細診断名称]

  • ユーザ識別の欠如
  • ID空間の小さすぎるセッション追跡パラメータの使用
  • 規則的なセッション追跡パラメータの使用
  • 推測可能なセッション追跡パラメータの使用
  • URLパラメータによるセッション追跡
  • 外部サイトへのリンクでセッション追跡パラメータがRefererとして漏えい
不適切な承認(Insufficient Authorization)

アクセス権限の高いコンテンツや機能へのアクセスを許可してしまいます。

[詳細診断名称]

  • 異なるセッションで同一セッション追跡パラメータの使用
不適切なセッション期限(Insufficient Session Expiration)

ユーザのセッション情報を盗用しやすくなり、攻撃者が管理者やユーザに成りすますことができます。

[詳細診断名称]

  • 永続的Cookieの使用
  • ログアウト機能の欠如
  • ログアウト後のサーバセッションの残存
  • サーバセッションの長時間にわたる残存
セッションの固定(Session Fixation)

攻撃者がセッション情報を任意の値に直接変えてしまうことで、管理者やユーザに成りすますことができます。

[詳細診断名称]

  • セッション固定攻撃
セッションの盗難(Session Hijack)

SSL等を使用して暗号化をしていない場合、攻撃者はセッション情報を容易に取得することができ、管理者やユーザに成りすますことができます。

[詳細診断名称]

  • Cookieによるセッション追跡
  • 暗号化されないアクセスに個人情報が含まれる
  • 暗号化されないアクセスにセッション追跡パラメータが含まれる
  • 暗号化されないページへのリンクでセッション追跡パラメータがRefererとして送出
  • セキュアでないCookieの使用
  • 暗号化されないページへのリンクでセッション追跡用Cookieが平文で送出

診断項目 – クライアント側での攻撃(Client-side Attacks)

クライアント側から行われる攻撃に対する診断を行います。
診断カテゴリ 診断内容/詳細診断名称
コンテンツの詐称(Content Spoofing)

ユーザをだまし、あるWebサイト(フィッシングサイト)に載っているコンテンツが正規のもので、外部リソースから来ているものではない、と信じ込ませる攻撃技術です。

[詳細診断名称]

  • クロスサイトスクリプティング
クロスサイトトレーシング(Cross Site Tracing)

Webのヘッダ情報を不正に読み出されてしまいます。これにより、他の脆弱性を利用して管理者や他のユーザに成りすまされてしまいます。

[詳細診断名称]

  • TRACEメソッドによるAuthorizationヘッダ漏えいの可能性
クロスサイトスクリプティング(Cross Site Scripting (XSS))

サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプト(実行コード)を実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。

[詳細診断名称]

  • クロスサイトスクリプティング
クロスサイトリクエストフォージェリ(Cross Site Request Forgery (CSRF))

サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。

[詳細診断名称]

  • クロスサイトリクエストフォージェリ

診断項目 – コマンドの実行(Command Execution)

コマンド実行により行われる攻撃に対する診断を行います。
診断カテゴリ 診断内容/詳細診断名称
バッファ・オーバフロー(Buffer Overflow)

アプリケーションの予期しないデータを送り、アプリケーションを異常終了させられてしまいます。これにより、Webサーバのサービスを停止させられたり、Webサーバを乗っ取られる危険性があります。

[詳細診断名称]

  • バッファオーバーフロー
書式文字列攻撃(Format String Attack)

入力された文字列を書式加工する際にプログラムをクラッシュさせたり、不正なコードを実行させられてしまいます。これにより、Webサーバのサービスを停止させられたり、Webサーバを乗っ取られる危険性があります。

[詳細診断名称]

  • パラメータの改ざん
LDAP インジェクション(LDAP Injection)

LDAPコマンドを不正に使用されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • LDAPインジェクション
OS のコマンド実行(OS Commanding)

サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • コマンドインジェクション
SQL インジェクション(SQL Injection)

DBサーバへのアクセスを不正に実行されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • SQLインジェクション
SSI インジェクション(SSI Injection)

SSIコマンドを不正に実行されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • SSIインジェクション
XMLインジェクション(XML Injection)

XMLデータにスクリプト等を混入して攻撃されてしまいます。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。

[詳細診断名称]

  • Webサービスの脆弱性
パラメータ改ざん(Parameter Manipulation)

パラメータを不正に改ざんされてしまいます。その結果、管理者や他のユーザに成りすまされてしまいます。

[詳細診断名称]

  • パラメータの改ざん
  • hiddenフィールドの不正操作
スクリプトの実行(Script Execution)

許可していないスクリプトを実行されてしまうため、情報の漏えいやWebサイトの改ざんを許してしまいます。

[詳細診断名称]

  • バックドア、デバッグオプション

診断項目 – 情報漏えい
(Information Leakage)

Webサーバから情報が漏えいする可能性がないか診断を行います。
診断カテゴリ 診断内容/詳細診断名称
ディレクトリ・インデックシング(Directory Indexing)

Webサーバ内のファイルを閲覧されることにより、Webサーバ攻撃の足がかりとされてしまいます。

[詳細診断名称]

  • ディレクトリリスティング
情報漏えい(Information Leakage)

Webサーバから意図していない内部情報が外部に漏えいしてしまいます。

[詳細診断名称]

  • HTML中のコメント
  • クレジットカード番号の表示
  • パスワードの出力
パスの切り換え(Path Traversal)

Webブラウザのアドレスバーやファイル名を指定するパラメータなどの箇所から任意のパスを受け付けてしまうため、機密情報などが保管されているパスを指定されることにより情報漏えいにつながります。

[詳細診断名称]

  • ディレクトリトラバーサル
推測可能なリソースの位置(Predictable Resource Location)

フォルダ名やファイル名が推測可能な簡単な名称になっているなど、内部のリソースの配置が推測可能な場合、重要な情報や機能が外部に漏えいする危険性があります。

[詳細診断名称]

  • 強制ブラウジング
  • バックアップファイルの検出
Webサーバ・アプリケーションの特定(Fingerprinting)

Webサーバ、Webアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。

[詳細診断名称]

  • サードパーティ製品の設定ミス

診断項目 – ロジックを狙った攻撃(Logical Attacks)

WebサーバやWebアプリケーションの持つ機能を狙った攻撃が可能か診断を行います。
診断カテゴリ 診断内容/詳細診断名称
機能の悪用(Abuse of Functionality)

機能の悪用は、Webサイト自体が持つ特徴や機能を利用して、アクセス制御機構を消耗させたり、だましたり、回避したりする攻撃手法です。

[詳細診断名称]

  • http上のログイン画面
  • ルートフレームがhttpにあるサブフレーム上のログイン画面
自動化の停止が不適切(Insufficient Anti-automation)

ロボットなどによるWebサーバへの連続攻撃を受け、正しいIDやパスワードを探られたり、Webサーバに負荷をかけられたりしてしまいます。

[詳細診断名称]

  • URLパラメータによるセッション追跡
不適切なプロセス検証(Insufficient Process Validation)

Webサイトがアプリケーションにかけていたフロー制御を、攻撃者が回避したり、抜け道を作ったりしてしまいます。

[詳細診断名称]

  • アクセス制御の欠如

サイバーセキュリティクラウドの
脆弱性診断サービスに関して
ご不明な点がございましたら
お気軽にお問い合わせください