1) WEBアプリケーション診断

WEBシステムのデータ授受が発生する画面を介した脆弱性診断を行います。
ツールスキャンと手動診断の2つを組み合わせて、悪意のあるユーザからアクセスがあった際に一般的な攻撃手段でリスクを発見されてしまわないかを診断します。脆弱性診断が検知された場合、改修作業後再度、検知したリスクに対策が行われたかも確認します。

脆弱性カテゴリ
1 各種インジェクション攻撃の実行可否
2 クロスサイトスクリプティングの実行可否
3 認証機能の不備
4 アクセス制御の不備
5 不完全な認証・認可
6 セキュリティ設定の不備
7 機密・機微な情報の流出可能性
8 正規ユーザに対する強制処理実行の可否

 

2) API 診断

APIを通信の基本的なハブ役としたWEBシステムの場合、WEBシステムの画面だけではなく、そのAPI単体に対する脆弱性診断を行うことができます。
API診断では、API単体にアクセスし、悪意のあるユーザからの一般的な攻撃手段(疑似攻撃)を行って、セキュリティ上のリスクを診断します。

脆弱性カテゴリ
1 各種インジェクション攻撃の実行可否
2 クロスサイトスクリプティングの実行可否
3 認証機能の不備
4 アクセス制御の不備
5 不完全な認証・認可
6 セキュリティ設定の不備
7 機密・機微な情報の流出可能性
8 正規ユーザに対する強制処理実行の可否

 

3) ソースコード診断

対象システムを構成するソースコード自体の記述そのものに、リスクがないかをツールスキャンし、エラー除去を目視確認し、記述の問題がないか診断します。

内容
1 各種インジェクション攻撃の実行可否
2 認証機能の不備
3 不完全な認証・認可
4 機密・機微な情報の流出可能性
5 正規ユーザに対する強制処理実行の可否

 

4) スマートフォンアプリケーション診断

インストールされたアプリに対してツールと手動診断により、端末の不正利用(改造)によるアプリへの不正行為、サーバ・端末間通信データの奪取、アプリ内データへの不正アクセスなどのリスクを診断します。

実施項目
確認項目
確認内容
ソースコードの確認
逆コンパイル可否
Smaliファイルへの変換可否確認
ソースコードの難読化の状態
Smaliファイルの視認による変数名や関数などの難読化の有無を確認
ソースコード内の非暗号化の機密情報
ソースコードで、IDやパスワードと思われる記載が、平文かどうかを確認
端末保有情報の確認
生成/保存/破棄実行によるファイル確認
巡回実行し、端末内に生成されたファイルを確認
アプリケーション終了時の残存ファイルを確認
ファイル内の機密情報存否
各種ファイルで、IDやパスワードと思われる記載が、平文かどうかを確認
SharedPrefence内情報の確認
暗号化の有無
ファイル内保存情報の暗号化の有無の確認
バイナリファイル、デバッグメッセージの調査
不要な情報がのこされていないか調査
原則は目視で、ファイル内を確認
制御機能の設定・使用
各ファイルのファイルパーミッションの確認
パーミッション設定の適否を確認
通信上の安全
証明書検証処理
証明書の検証有無を確認
暗号化通信
機密情報(例:個人情報やUID)のHTTPSでの送受信を確認
通信サイト
想定ドメイン以外のドメインとの通信有無を確認

 

セキュリティ診断のサービスフロー

WEBアプリケーション診断の流れ

  • STEP1サイト確認
    診断対象サイトの確認及びヒアリングをさせていただきます。
    対象サイトのご提示およびテスト用アカウントの発行をお願いします。
  • STEP2対象範囲確認
    診断対象サイトの対象URL(画面)一覧を作成させていただきます。
    ※テストデータ等のご依頼をさせていただく場合がございます。
  • STEP3ご提案
    診断範囲および診断内容の提案及びお見積書を提出させていただきます。
    診断スケジュールの調整をさせていただきます。
  • STEP4お申し込み
    必要事項を記載し注文書の送付をお願いします。
    ※診断開始前にテストデータ作成、FW等の設定変更を依頼する場合がございます。
  • STEP5診断
    診断実行中に重大な脆弱性が発覚した場合は速報にて通知します。
    ※診断中にテストアカウント等の準備をご依頼する場合がございます。
  • STEP6レポート
    診断完了後、約5営業日以内に診断報告書を提出させていただきます。
    ※オプションにて報告会も実施させていただきます。

 

お問い合わせ