Webアプリケーション脆弱性診断サービス

Webアプリケーション脆弱性診断とは

Webサイトにおけるコンテンツ層に対して、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い（ブラックボックステスト）、脆弱性の有無と対策手段を明らかにし、レポートにまとめてご報告するサービスです。診断中に深刻な脆弱性が発見された場合は、対策を含めて即ご報告致します。

サービスご提供イメージ

主な診断項目

診断項目	左記脆弱性が存在することによって被る被害例
総当たり攻撃 Brute Force	IDやパスワードが簡単に推測可能であり、管理者や他のユーザに成りすまされてしまいます。
もろいパスワード復元の検証 Weak Password Recovery Validation	ユーザがパスワードを忘れた際の回復方法に問題があり、パスワードの情報が外部に漏えいしてしまいます。
セッションの推測 Session Prediction	セッション情報が推測しやすい値の場合、攻撃者は正しい値を推測し、管理者やユーザに成りすますことができます。
不適切な承認 Insufficient Session Expiration	承認が不適切だと、アクセス権限の高いコンテンツや機能へのアクセスを認めてしまいます。これにより、攻撃者が他のユーザや管理者に成りすます危険性があります。
コンテンツの詐称 Content Spoofing	偽のコンテンツをあたかも正式なものであるかのように装ってウェブサイトに表示し、ユーザを欺きます。これにより、パスワードを抜き取られたり、フィッシング詐欺サイトへ誘導されたりする危険性があります。
クロスサイトスクリプティング Cross Site Scripting （XSS）	サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。
OS のコマンド実行 OS Commanding	サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。
SQL インジェクション SQL Injection	DBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります
情報漏洩 Information Leakage	ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。
ウェブサーバ・アプリケーションの特定 Fingerprinting	ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。
機能の悪用 Abuse of Functionality	ウェブサーバ、ウェブアプリケーションの持つ機能を不正に実行されてしまいます。その結果、SPAM（メールを大量配信すること）の中継地点に使われるなど、悪用されてしまいます。

成果物サンプル

サービスの特長

世界基準かつ経産省準拠
高い客観性のサービス

高度認定資格であるGIAC資格などの取得者を要する、最高技術レベルのチーム体制。ご提供するサービスはIPAが発表している「安全なWebサイトの作り方」および経済産業省「情報システムモデル取引・契約書＜追補版＞」をベースとした「IPA基準：22項目診断」と「経済産業省基準：31項目診断」がございます。

マニュアルによる丁寧な検証

ツールだけのレポートではないマニュアル診断を実施しています。１機能ごと診断した結果を診断員が実際に検証し、真の脆弱性かどうかを判断しています。また問題箇所は実際のキャプチャーを報告資料に明示しますので、一目で脆弱性が理解出来ます。

制作ベンダゆえのノウハウと
丁寧なレポート

実際にサイトを数多く制作してきた開発ベンダゆえのノウハウがあります。診断結果を分かりやすく図解したレポートを作成し、Webサイトの現状と問題点をご報告いたします。さらに、問題箇所を分かりやすく解説し、脆弱性の対策についてもご提案致します。解説については、すべて弊社セキュリティチームメンバーが記述しますので、ツールが自動的に生成した説明とは、分かりやすさが違います。