WEBアプリケーションの脆弱性を“プロの目線”から診断

WEB脆弱性診断サービスでは、WEBアプリケーションが稼働しているWEBサイトの安全性を調査することで、脆弱性の有無やそのリスクを判断するサービスです。WEBアプリケーションの脆弱性がもたらすインシデントには、個人情報の漏洩やECサイトなどにおけるなりすまし、不正なコマンド攻撃によるサービス停止など、様々なものが挙げられます。これらセキュリティリスクを最小限に抑えるためにも、WEBアプリケーションの脆弱性を“プロの目線”から診断するこのサービスは環境や構築方法を見直す上で非常に有用だと言えます。

脆弱性を発見してセキュリティリスクを可能な限り軽減する

WEBサイトを持っているあらゆる企業が対象になるWEB脆弱性診断サービスですが、最近ではWEBサイトをビジネス基盤の中心においているECサイトやSNSサイト、ゲーム系サイトなど、頻繁にサービスを立ち上げたり改修・追加開発したりする企業様からの依頼が増加傾向にあります。また、提供しているシステムがセキュアであることを証明するために、開発段階から脆弱性診断をご利用いただいているSIER様やシステム開発会社様も増えつつあります。
サービスを利用する主な目的は、脆弱性を発見してセキュリティリスクを可能な限り軽減することが主ですが第三者から診断を受けたというエビデンス(証拠)を残し、顧客に安全性をアピールする狙いを持っている企業様もあれば開発ライフサイクルに診断サービスを組み込み、セキュアプログラミングの環境を自社内で作り上げることを目指す企業様などサービスをご利用頂いている目的は様々です。
開発における早期段階で診断を行ったほうが手戻りも少なく、結果として開発コストを抑えられるといったことも効果としてあげることが出来ると考えております。

ネットワーク診断サービス内容
サービス不能

サービス不能

DoS攻撃、DDoS攻撃などサービスを不正に停止させる可能性を検査します。この攻撃によりサービス・サーバ停止の被害に遭う可能性があります。

情報収集

情報収集

リモートからサーバのシステム情報・構成情報の取得の可能性を検査します。クラッカーが攻撃をおこなうために必要な情報を公開している可能性があります。

攻撃

攻撃

不正なパケットを送信してサービスを動作不能にさせる可能性を検査します。この攻撃によりサービス・サーバ停止の被害に遭う可能性があります。

フルログ

フルログ

リモートからサーバの設定ファイル・ログファイルの取得の可能性を検査します。クラッカーが攻撃をおこなうために必要な情報を公開している可能性があります。

ROOTの取得

ROOTの取得

リモートからサーバの管理権限を不正に取得する可能性を検査します。この攻撃により不正侵入、改ざん行為などの被害に遭う可能性があります。

クラッシュ

クラッシュ

システムファイルの不正書き換えなどの可能性を検査します。この攻撃によりサービス・サーバ停止の被害に遭う可能性があります。

100%CPU

100%CPU

不正なパケットを送信して不正にサーバの負荷を上昇させる可能性を検査します。この攻撃によりサービス・サーバ停止の被害に遭う可能性があります。

アプリケーション診断サービス内容
認証

認証

脆弱なパスワードの存在
不適切な認証
パスワードリマインダの不備
HTTPSの不備
ブルートフォース攻撃

承認

承認

セッションの推測
不適切な承認
セッション終了処理の不備
セッションの固定

クライアントを対象とした攻撃に関する項目

クライアントを対象とした攻撃に関する項目

クロスサイトスクリプティング
コンテンツの詐称
クロスサイトリクエストフォージェリ(CSRF)
HTTPヘッダインジェクション

コマンド実行に関する項目

コマンド実行に関する項目

バッファオーバーフロー
書式文字列攻撃
OSコマンドインジェクション
SQLインジェクション
SSIインジェクション
LDAPインジェクション

情報取得に関する項目

情報取得に関する項目

ディレクトリ内容表示
ディレクトリトラバーサル
強制ブラウジング
HTMLソース内容

アプリケーション機能の悪用に関する項目

アプリケーション機能の悪用に関する項目

機能の悪用
サービス拒否
自動アクセス防止の不備

その他

その他

HTTPSレスポンススプリッティング
暗号化方法の判別