Webアプリケーション診断

Webアプリケーション診断とは?

Webアプリケーション
診断とは?

Webアプリケーション診断では、当社のセキュリティエンジニアが攻撃者の視点に立ち、お客様のWebアプリケーションに対して疑似攻撃を実施し、データの改ざんや情報漏えいなどの重大なリスクにつながる脆弱性を洗い出します。
診断では、SQLインジェクション等の代表的な攻撃手法を用いて、攻撃者が悪用する可能性のあるセキュリティ上の弱点を多角的に検証します。

INCIDENT CASES

Webアプリケーションに関わる
被害・問題事例

Webアプリケーションに関わる被害・問題事例

ここでは、Webアプリケーションに関わる被害・問題事例の一部をご紹介します。

  • 01

    SQLインジェクションによる大量の機密情報の流出

    Webアプリケーションにおける代表的かつ深刻な脆弱性の一つが、SQLインジェクションです。悪用されれば、たった一つの脆弱性からデータベースに保存された個人情報などの大量の機密データが漏えい・改ざん・削除される危険があります。これまでECサイトを含む多くのWebサイトで被害が報告されており、その影響は個人や企業への直接的な損害にとどまらず、企業の信用失墜やブランド価値の低下といった間接的かつ重大な損害につながっています。

  • 02

    XSSによるユーザ情報の窃取・セッション乗っ取り

    クロスサイト・スクリプティング(XSS)は代表的な脆弱性の一つです。Webアプリケーションでのユーザ入力の扱いに不備があると攻撃者が悪意あるコードを挿入できてしまいます。挿入されたコードは利用者のブラウザ上で実行され、Webサイトへのログイン状態を乗っ取られたり、入力情報を傍受・改ざんされたりすることで、個人情報の漏えいや金銭的な被害を引き起こす恐れがあります。

  • 03

    CSRFによる利用者権限を悪用した不正送金・操作の強制実行

    CSRF(クロスサイトリクエストフォージェリ)は、利用者がすでにログインしている正規サイトに対し、攻撃者が利用者の権限で意図しない操作を実行させる攻撃です。Webアプリケーションに脆弱性があると成立する可能性があり、その結果、利用者が気づかないうちに不正送金や不正購入、アカウント設定の書き換え、攻撃者による不正な投稿(脅迫・なりすまし投稿など)といった被害が発生する恐れがあります。

REASONS TO CHOOSE US

お客様に選ばれる理由

当社がお客様に選ばれる理由をご紹介いたします。

  • 脆弱性修正対応の伴奏支援

    当社のセキュリティエンジニアは、貴社の専属セキュリティチームとして、発見した脆弱性の修正をサポートし、安全なリリースまで徹底的に伴走します。

  • 小回りの利く柔軟な対応

    当社はお客様のご都合(予算・リリース計画・業務都合等)に応じて診断範囲を柔軟に設計いたします。加えて、夜間・休日を含む診断スケジュールについても事前調整の上で対応し、業務影響を最小限に抑えます。

  • 高い品質を実現する診断体制

    当社の診断はすべて、経験豊富なシニアセキュリティエンジニアが検出結果・再現手順・リスク評価・修正方針を直接レビューします。これにより、診断の網羅性と品質を高水準で確保します。

ASSESSMENT ITEMS

診断項目

Webアプリケーション診断の主な診断項目は以下の通りです。
IPA「ウェブ健康診断」やOWASP Top10などを踏まえて、弊社独自の診断項目を設定しています。

カテゴリ

診断項目

認証

    • 認証回避

    • ログアウト機能不備

    • アカウントロック機能不備

    • 脆弱なパスワードポリシー

    • パスワードリセット機能の不備

    • パスワードフィールドのマスク不備

    • パスワード変更機能の不備

    • セッション

    • ディレクトリリスティング

    • クロスサイトリクエストフォージェリ

    • ログイン前セッション

    • CookieのSecure属性未設定

    • CookieのHttpOnly属性未設定

    • セッションIDの不備

    • セッションフィクセーション認証回避

    • 設計

    • エラーメッセージによる情報露出

    • キャッシュからの情報漏洩

    • アプリケーションロジックの不備

    • ファイルアップロード機能の不備

    • メール送信機能の不備

    • SSRF(サーバサイドリクエストフォージェリ)

    • オープンリダイレクト

    • ディレクトリトラバーサル

    • 安全でないデシリアライゼーション

    • 非暗号化通信による重要情報の漏洩

    • HTTPレスポンスヘッダの不備

    • クエリパラメータによる情報漏洩

    • インジェクション

    • SQLインジェクション

    • OSコマンドインジェクション

    • リモートファイルインクルード

    • メールヘッダインジェクション

    • クロスサイトスクリプティング

    • HTTPヘッダインジェクション

    • リモートコードインジェクション

    • XXEインジェクション

    • PROCESS

    導入の流れ

    Webアプリケーション診断の基本的な流れをご説明します。

    ヒアリング

    診断対象や範囲等を確認させていただきます。

    01

    見積もり・契約

    ヒアリング内容を踏まえ、お見積りを提示します。内容をご確認いただいた上で、ご契約いただきます。

    02

    診断

    セキュリティエンジニアが診断を実行します。

    03

    報告

    診断結果を踏まえ、発見された問題の内容やリスク、推奨対策等を記述した報告書を提出します。
    オプションで報告会を行うこともできます。

    04

    FAQ

    よくある質問

    • 問題個所を改善した後に再診断はやってもらえますか?

      はい、再診断を行うことができます。

    • APIに対する診断はできますか?

      はい、可能です。OWASP Top 10 API Security Risks 2023のリスクを中心に診断いたします。

    • OWASP ASVS(Application Security Verification Standard)に準拠したテストはできますか?

      はい、OWASP ASVS  Level 1に準拠したテストを実施することができます。

    お問い合わせ

    セキュリティコンサルティング、セキュリティ診断など、お客様のニーズに合わせた幅広いサポートをご提供いたします。どんな小さなご相談でも構いません。まずはお気軽にお問い合わせください。

    trending_flat

    お問い合わせはこちら