Webアプリケーション診断
国際基準によるリスク評価と、再現例および対策立案までをご報告
SQLインジェクション・クロスサイトスクリプティングなど、Webアプリケーションにおいてどのような攻撃リスクがあるかを精緻かつ網羅的に探索しリスクを評価します。
把握した個々の脆弱性は全て詳細に解析した上で国際基準(CVSS 3.0)によるリスク評価を実施。分かりやすい再現例を示し、攻撃に対してどのように防御すればいいのか対策を立案した上でご報告いたします。
また、高いリスクを持つと考えられる脆弱性については報告書の完成を待たずに一早くお伝えするため、すぐに対策に取り掛かれます。
-
自動診断と手動診断の併用で精度と深さを追求
-
世界レベルの脆弱性診断基準
-
診断だけでも開発に精通するエンジニアが在籍
よくあるお悩み
-
現在運用中のシステムで脆弱性が報告された
-
顧客への安全性の証明として、診断報告書がほしい
-
診断の指摘内容を踏まえた内容を再診断までしてほしい
Webアプリケーション診断の特長
Feature 自動診断と手動診断の併用で精度と深さを追求
業界標準のツールによる自動診断だけでなく、診断員の創造性とスキルを生かした手動診断を併用することで、診断の精度と深さを追求。また、国内外CTF(セキュリティコンテスト)で入賞実績をもつハッカークラスのエンジニアによるチーミングを実施しています。高い脆弱性検出率を誇るサービスを提供し、情報漏えいなどの重大問題の発生を防止します。
Feature 世界レベルの脆弱性診断基準
脆弱性診断基準は、経済産業省「情報セキュリティサービス基準」に準拠しつつOWASP Top 10など最新の国際基準を取り入れています。世界レベルの基準に基づいた公正な評価となる診断ですので、顧客に高い安全性を証明できます。
- OWASPは国内外のセキュリティ研究者が作る独立グループで、Webなど各領域における診断基準の類を取りまとめる役割を担っている組織です。
Feature 開発にも精通したエンジニアが在籍
弊社には、診断や保守だけでなく開発にも精通したエンジニアが在籍しています。そのため開発言語や開発手法が問題になることはありません。
AngularJSやReactJSなどによるHTML5 Single Page Applicationでも、開発の知識を活かし、リバースエンジニアリング(プログラムの構成要素を分析すること)を行なうことで深いレベルの診断ができます。
- シングルページWEBアプリケーションは個別お見積りでの対応となります。
確かな技術力を持つハートビーツのスタッフが、直接お応えします。
料金やお見積りに関する質問など、お気軽にお問い合わせください。
Webアプリケーション診断の流れ
-
事前ヒアリング
ヒアリングシートに必要事項をご記入いただき、診断対象の規模を推定するための事前調査を実施いたします。
-
診断の詳細設計と実施計画
診断の詳細設計と実施計画を作成してお伝えいたします。
診断開始終了のご連絡や、追加情報の提供依頼のために、お客様の連絡先の設定をお願いいたします。 -
診断の実施
診断対象が診断可能な状態か確認し、診断を実施いたします。
特にリスクが高い脆弱性を発見した際には、原則翌営業日中に速報としてお知らせいたします。 -
報告書の提出
- 診断期間終了後、速やかに報告書の提出を行います。
- 報告書の提出をもって納品・案件終了となります。以降はアフターサポート期間となります。
-
アフタフォロー・オプション
アフターフォローとして、お問い合わせ期間の間、実施した診断や報告書についてお問い合わせいただけます。
また、オプションとして別途報告会の実施も可能です。
主な診断項目
| 診断項目 | 診断内容 | |
| インジェクション系 SQLインジェクション (A1:2017-Injection) | SQLインジェクション | 対象のパラメータ汚染により、対象が任意SQLを実⾏することの検出 |
| OSコマンドインジェクション | OSコマンドインジェクション 対象のパラメータ汚染により、対象が任意OSコマンドを実⾏することの検出 | |
| パストラバーサル | パストラバーサル 対象のパラメータ汚染により、対象が任意ファイルへアクセスすることの検出 | |
| HTTPヘッダインジェクション | HTTPヘッダインジェクション 対象のパラメータ汚染により、対象が任意HTTPヘッダを出⼒することの検出 | |
| オープンリダイレクタ | オープンリダイレクタ 対象のパラメータ汚染により、対象が任意リダイレクトを出⼒することの検出 | |
| SMTPヘッダインジェクション | SMTPヘッダインジェクション 対象のパラメータ汚染により、対象が任意メールヘッダを出⼒すること | |
| 不適切な認証 (A2:2017-Broken Authentication) | 安全でないパスワードフィールド | 対象において⾮マスク化あるいは補完可能なパスワードフィールドの検出 |
| エラーメッセージによるアカウント状態漏洩 | 対象においてユーザIDやパスワードが推論可能なエラーメッセージの検出 | |
| アカウントロックの⽋如 | 対象においてアカウントロック機構の不備を検出 | |
| ログアウトの⽋如 | 対象においてログアウト相当機能の不備を検出 | |
| 認証バイパス | 対象のパラメータ汚染により、対象の認証機構を回避できることの検出 | |
| 推測可能なセッションID | 対象の使⽤するセッションIDに相当するパラメータが推測可能であることの検出 | |
| セッション固定化 | 対象においてログイン時セッションIDが再発⾏されないことの検出 | |
| 機密情報の暴露 (A3:2017-Sensitive Data Exposure) | ディレクトリリスティングの発⾒ | 対象におけるディレクトリ⼀覧の検出 |
| セッションIDの暴露 | 対象がURLにセッションIDを埋め込んでいることの検出 | |
| XML外部エンティティ参照の問題 (A4:2017-XML External Entities (XXE)) | 安全でないXML外部エンティティ参照 | 対象のXMLパラメータ汚染により、対象が任意ファイルへアクセスすることまたはサービス拒否が起きることの検出 |
| 不適切なアクセス制御 (A5:2017-Broken Access Control) | パラメータ検証不備 | 対象のパラメータ汚染により、対象の内部状態が不正に操作されることの検出 |
| 権限昇格 | 対象における上位権限認可確認不備の検出 | |
| 認可不備 | 対象におけるアクセスベクタ認可確認不備の検出 | |
| クロスサイトリクエストフォージェリ | 対象の内部状態を変更するリクエストがリプレイできることの検出 | |
| 強制ブラウジング | 対象のリソース識別⼦汚染により、対象の認可制御が回避されるあるいは機密情報が開⽰されることの検出 | |
| 不適切なCORSポリシー | 対象により正当な理由なくアクセスが開放されているリクエストの検出 | |
| セキュリティ設定ミス (A6:2017-Security Misconfiguration) | アップロードファイル検証不備 | 対象におけるMIMEタイプ検証不備あるいは送付ファイル実⾏の検出 |
| Cookieにおけるsecure属性⽋如 | TLSを使⽤する対象において、 セッションIDあるいは機密情報を含むCookieにおけるsecure属性⽋如の検出 |
|
| CookieにおけるHttpOnly属性⽋如 | 対象が付与するCookieのうち、スクリプトによる操作が不要と考えられるものにおいてHttpOnly属性⽋如の検出 | |
| 不適切なセッションライフタイム | 対象が付与するセッションIDあるいは機密情報を持つCookieにおいて不適切な有効期限の検出 | |
| 不適切なメソッド | 対象による不適切なHTTPメソッドサポートの検出 (e.g. TRACE) | |
| システム情報の開⽰ | 対象のパラメータ汚染により、対象が詳細デバッグ情報を出⼒することの検出 (e.g. スタックトレース) | |
| UI Redressing | 対象が第三者によるフレーム化を容認していることの検出 | |
| XSS防御機構の欠如 | 対象がクロスサイトスクリプティング防御機構を有効にしないことの検出 | |
| HTTP Strict Transport Securityの⽋如 | TLSで動作する対象がHTTP Strict Transport Securityを有効にしないことの検出 | |
| クロスサイトスクリプティング (A7:2017-Cross-Site Scripting (XSS)) |
クロスサイトスクリプティング | 対象のパラメータ汚染により、対象において任意JavaScriptを実⾏できることの検出 |
| 安全でないデシリアライズ処理 (A8:2017-Insecure Deserialization) | 安全でないデシリアライズ処理 | 対象のシリアライズ化データ汚染により、対象の内部状態が汚染されるあるいはサービス拒否が起きることの検出 |
| 脆弱性のあるミドルウェアの使⽤ (A9:2017-Using Components with Known Vulnerabilities) | 脆弱なミドルウェアの使用 | 既知の脆弱性を持つミドルウェアの検出 |
| 不⼗分なログ記録や監視 (A10:2017-Insufficient Logging & Monitoring) | ログイン履歴の欠如 | 対象におけるログイン履歴開⽰に相当する機能の不備検出 |
| 機密情報の暴露 (A3:2017-Sensitive Data Exposure) | ディレクトリリスティング | ディレクトリ/aaa/などでURLを区切りアクセスして、ディレクトリ⼀覧が表⽰されないか確認する |
| ログイン・個⼈情報の送受信に関する調査 | ログイン情報、個⼈情報送受信時の通信を確認する |
ご請求とお支払いについて
支払いおよびご請求時の詳細を記載させて頂きます。
| 支払い方法 | ご請求書払いになります |
|---|---|
| ご請求時期 | ご利用月の翌月10日までにお客様へご請求書をお送りいたします |
| 支払い期日 | ご利用月の翌月末日までとなります |
確かな技術力を持つハートビーツのスタッフが、直接お応えします。
料金やお見積りに関する質問など、お気軽にお問い合わせください。
サービス一覧
AWS総合支援サービス
その他サービス
-
サーバー監視一次対応サービス
エンジニアによる監視の実装とトラブル発生時の電話連絡、一次対応をご提供します。
-
セキュリティ導入・運用代行
IPS/IDS、WAFの導入をお手伝いするなどセキュリティツール運用サービスをご提供します。
-
アドバイザリーサービス
インフラ運用で発生する諸問題・不安を継続的に携わることで、対象業界にあわせた適切なアドバイスをいたします。
-
フルマネージドサービス
監視一次対応に加えて、サーバー管理代行および長期的なシステムコンサルティングをご提供します。
-
脆弱性診断
安全なWebサイト、システム提供のへのセキュリティ対策をご提案をさせていただきます。
-
クラウド移行・導入支援
お客様の提供サービスやシステムに応じたクラウド基盤への移転、新規導入をお手伝いいたします。
-
開発サービス
ハートビーツの開発サービスは要件や仕様に即したテスト(エラーとなるパターンを含む)を先に実装。改修・機能実装による影響をチェックしながら開発が可能です。ランニングコストの軽減や、機能追加・バグ修正のスピードアップと品質向上が見込めます。
-
サーバー設計・構築、その他オプションサービス
サーバー設計、サーバー構築、アクセス負荷対策、クラウド導入支援、ドメイン、SSL取得代行などをサポートします。
-
