WEBアプリケーション 脆弱性診断サービス
セキュリティ事故を未然に防ぐ!
情報漏洩セキュリティ事故の25%以上がWEBアプリケーションへの攻撃によるもので、分類の1位になっています。(情報セキュリティ白書2019)自社のWEBアプリケーションを定期的に診断し、安全を確保しましょう。SecureHattersでは、高品質なWEBアプリケーション脆弱性診断サービスを提供しています。
自システムは大丈夫か。
代表的なWEBアプリケーション脆弱性
好んで脆弱なシステムを作る製作者はいません。十分に気を付けて作成しているつもりでも、混入してしまうのが脆弱性です。ソフトウェア開発プロジェクトにおけるテスト工程で最初からすべての項目をパスすることが極めて稀なようにに、はじめて脆弱性診断を行って脆弱性がなにもないというのも極めて稀です。
OWASPが上げるWEBシステムで見つかる脆弱性TOP10は有名ですが、セキュアハッターズの診断実績としても特に以下の3つは多く見つかる脆弱性となっております。専門的な診断で脆弱性を発見いたします。
-
クロスサイトスクリプティング
任意のJavaScriptを実行可能に。顧客情報の抜き取りなどの危険性が。
-
認可制御の不備
本来許可されていない操作が可能に。システムやアカウントの乗っ取りの危険性が。
-
SQLインジェクション
データベースに対して自由な操作が可能に。大切なデータの流出・破壊の危険性が。
サービス特徴
対象のWebアプリケーションに対し、業界標準のツールによる自動診断と診断員による手動診断を行ないます。対象の性格に応じて適宜ツールを作成します。
精緻かつ深い診断
業界標準のツールによる自動診断だけでなく、診断員の創造性とスキルを生かした手動診断を併用することで精度と深さを追求します。Secure Hattersでは、国内外CTFで入賞実績を持つハッカークラスのエンジニアを中心にチーミングを行います。また、逆に精度を犠牲にして自動診断のみとすることも可能です。
広い対応範囲
AngularJSやReactJSなどによるHTML5 Single Page Applicationなどでも、徹底的にリバースエンジニアリングを行なうことで深いレベルの診断ができます。Secure Hattersのエンジニアは全て診断だけでなく開発にも精通しているため、開発言語や開発手法が問題になることはありません。
世界レベルの脆弱性診断基準
Secure Hattersが提供する診断サービスは経済産業省「情報セキュリティサービス基準」に準拠しています。また脆弱性診断基準はOWASP Top 10などが提供する視点を取り入れつつ継続的に見直しています。OWASPとはサイバーセキュリティ向上を目指す慈善的非営利団体で、Webなど各領域における国内外のセキュリティ研究者が最善の集合知を提供しています。このため、Secure Hattersの診断では脆弱性は世界レベルの基準に基づいてより公正に評価されます。
診断項目
SPA(シングルページアプリケーション)における診断項目の一部を示します。
インジェクション系 (A1:2017-Injection)
| 診断項目 | 診断内容 |
|---|---|
| SQLインジェクション | 対象のパラメータ汚染により、対象が任意SQLを実行することの検出 |
| OSコマンドインジェクション | 対象のパラメータ汚染により、対象が任意OSコマンドを実行することの検出 |
| パストラバーサル | 対象のパラメータ汚染により、対象が任意ファイルへアクセスすることの検出 |
| HTTPヘッダインジェクション | 対象のパラメータ汚染により、対象が任意HTTPヘッダを出力することの検出 |
| オープンリダイレクタ | 対象のパラメータ汚染により、対象が任意リダイレクトを出力することの検出 |
| SMTPヘッダインジェクション | 対象のパラメータ汚染により、対象が任意メールヘッダを出力することの検出 |
不適切な認証 (A2:2017-Broken Authentication)
| 診断項目 | 診断内容 |
|---|---|
| 安全でないパスワードフィールド | 対象において非マスク化あるいは補完可能なパスワードフィールドの検出 |
| エラーメッセージによるアカウント状態漏洩 | 対象においてユーザIDやパスワードが推論可能なエラーメッセージの検出 |
| アカウントロックの欠如 | 対象においてアカウントロック機構の不備を検出 |
| ログアウトの欠如 | 対象においてログアウト相当機能の不備を検出 |
| 認証バイパス | 対象のパラメータ汚染により、対象の認証機構を回避できることの検出 |
| 推測可能なセッションID | 対象の使用するセッションIDに相当するパラメータが推測可能であることの検出 |
| セッション固定化 | 対象においてログイン時セッションIDが再発行されないことの検出 |
機密情報の暴露 (A3:2017-Sensitive Data Exposure)
| 診断項目 | 診断内容 |
|---|---|
| ディレクトリリスティングの発見 |
対象におけるディレクトリ一覧の検出 ディレクトリ/aaa/などでURLを区切りアクセスして、ディレクトリ一覧が表示されないか確認する |
| セッションIDの暴露 | 対象がURLにセッションIDを埋め込んでいることの検出 |
| ログイン・個人情報の送受信に関する調査 | ログイン情報、個人情報送受信時の通信を確認する |
XML外部エンティティ参照の問題 (A4:2017-XML External Entities (XXE))
| 診断項目 | 診断内容 |
|---|---|
| 安全でないXML外部エンティティ参照 | 対象のXMLパラメータ汚染により、対象が任意ファイルへアクセスすることまたはサービス拒否が起きることの検出 |
不適切なアクセス制御 (A5:2017-Broken Access Control)
| 診断項目 | 診断内容 |
|---|---|
| パラメータ検証不備 | 対象のパラメータ汚染により、対象の内部状態が不正に操作されることの検出 |
| 権限昇格 | 対象における上位権限認可確認不備の検出 |
| 認可不備 | 対象におけるアクセスベクタ認可確認不備の検出 |
| クロスサイトリクエストフォージェリ | 対象の内部状態を変更するリクエストがリプレイできることの検出 |
| 強制ブラウジング | 対象のリソース識別子汚染により、対象の認可制御が回避されるあるいは機密情報が開示されることの検出 |
| 不適切なCORSポリシー | 対象により正当な理由なくアクセスが開放されているリクエストの検出 |
セキュリティ設定ミス (A6:2017-Security Misconfiguration)
| 診断項目 | 診断内容 |
|---|---|
| アップロードファイル検証不備 | 対象におけるMIMEタイプ検証不備あるいは送付ファイル実行の検出 |
| Cookieにおけるsecure属性欠如 | TLSを使用する対象において、セッションIDあるいは機密情報を含むCookieにおけるsecure属性欠如の検出 |
| CookieにおけるHttpOnly属性欠如 | 対象が付与するCookieのうち、スクリプトによる操作が不要と考えられるものにおいてHttpOnly属性欠如の検出 |
| 不適切なセッションライフタイム | 対象が付与するセッションIDあるいは機密情報を持つCookieにおいて不適切な有効期限の検出 |
| 不適切なメソッド | 対象による不適切なHTTPメソッドサポートの検出 (e.g. TRACE) |
| システム情報の開示 | 対象のパラメータ汚染により、対象が詳細デバッグ情報を出力することの検出 (e.g. スタックトレース) |
| UI Redressing | 対象が第三者によるフレーム化を容認していることの検出 |
| XSS防御機構の欠如 | 対象がクロスサイトスクリプティング防御機構を有効にしないことの検出 |
| HTTP Strict Transport Securityの欠如 | TLSで動作する対象がHTTP Strict Transport Securityを有効にしないことの検出 |
クロスサイトスクリプティング (A7:2017-Cross-Site Scripting (XSS))
| 診断項目 | 診断内容 |
|---|---|
| クロスサイトスクリプティング | 対象のパラメータ汚染により、対象において任意JavaScriptを実行できることの検出 |
安全でないデシリアライズ処理 (A8:2017-Insecure Deserialization)
| 診断項目 | 診断内容 |
|---|---|
| 安全でないデシリアライズ処理 | 対象のシリアライズ化データ汚染により、対象の内部状態が汚染されるあるいはサービス拒否が起きることの検出 |
脆弱性のあるミドルウェアの使用 (A9:2017-Using Components with Known Vulnerabilities)
| 診断項目 | 診断内容 |
|---|---|
| 脆弱なミドルウェアの使用 | 既知の脆弱性を持つミドルウェアの検出 |
不十分なログ記録や監視 (A10:2017-Insufficient Logging & Monitoring)
| 診断項目 | 診断内容 |
|---|---|
| ログイン履歴の欠如 | 対象におけるログイン履歴開示に相当する機能の不備検出 |
診断実施の流れ
お見積りのご依頼・お問い合せ
SPA(シングルページアプリケーション)の脆弱性診断なら、専門のSPA(シングルページアプリケーション)の脆弱性診断サービスへ是非お問い合わせください。
お急ぎの方はお電話で
03-5787-6796セキュアハッターズWEBお問い合せ窓口
(株式会社ディーゴ内)
受付時間:平日~