Webアプリケーション診断

Webアプリケーション診断は、お客様が作成したWebアプリケーションに対して疑似攻撃を行うことにより、脆弱性を発見し報告するサービスです。弊社のWebアプリケーション診断では、CWE/SANS TOP 25やOWASP Top 10等に基づき作成した項目に対して、ツールによる自動診断及び診断員による手動診断を組み合わせることによって網羅的に検査いたします。

お問い合わせ

検査項目例

入出力処理に関する検査

クロスサイトスクリプティングWebアプリケーション上で細工を施した値を入力することにより、悪意のあるスクリプトを実行できないか等を検査します。
SQLインジェクションリレーショナルデータベースを利用する機能において、ユーザからの入力により情報漏洩や改竄などに繋がる悪意のある操作を実行できないかを検査します。
NoSQLインジェクションNoSQLを利用する機能において、ユーザからの入力により情報漏洩や改竄などに繋がる操作を実行できないかを検査します。
OSコマンドインジェクションsystem関数等でOSコマンドを実行する機能において、ユーザからの入力により悪意のあるOSコマンドを実行できないかを検査します。
コードインジェクションサーバサイドで実装されているプログラミング処理の不備により、ユーザからの入力により悪意のあるコードを実行できないかを検査します。
HTTPヘッダインジェクション細工を施したリクエストを送信することにより、HTTPレスポンスを改竄できないかを検査します。
メールヘッダインジェクションメール送信機能において、ユーザからの入力により送信先やメール本文を改竄できないかを検査します。
XXEインジェクションXMLを処理する機能において、外部実体宣言及び参照を用いてサーバ上のファイル取得やサービス妨害攻撃等ができないかを検査します。
テンプレートインジェクションテンプレートを使用するWebアプリケーションにおいて、任意のテンプレートを読み込ませることが可能な脆弱性がないかを検査します。
SSIインジェクションSSIが有効なWebアプリケーションにおいて、ユーザからの入力により情報漏洩やOSコマンドの実行が可能な脆弱性がないかを検査します。
CSSインジェクションユーザからの入力により任意のCSSを注入できないかを検査します。
オープンリダイレクトユーザからの入力値を用いてページをリダイレクトさせる処理において、任意のURLにリダイレクト可能な脆弱性がないかを検査します。
ディレクトリトラバーサルユーザからの入力により、ディレクトリを横断して本来アクセスできてはならないファイルにアクセスできる脆弱性がないかを検査します。
ファイルアップロードファイルをアップロードする処理において、意図していない形式のファイルがアップロードできないかを検査します。
ファイルインクルージョンファイルを読み込む処理において、ユーザからの入力によりサーバ内部や外部の任意のファイルが読み込み可能な脆弱性がないかを検査します。
サーバサイドリクエストフォージェリ細工を施したリクエストを送信することにより、対象のWebサーバを経由して他の内部サーバーに対して攻撃が可能な脆弱性がないかを検査します。
安全でないデシリアライゼーションユーザからの入力をデシリアライズ処理する機能において、細工を施した入力値を与えることによって任意のコード実行等が可能な脆弱性がないかを検査します。

認証に関する検査

ログインフォームに関する調査ログインフォームの実装について、入力値の検査やエラーメッセージなどから情報を推測できないかを検査します。
パスワードに関する調査認証に使用されるパスワードに関して脆弱なパスワードが設定できないかを検査します。
アカウントロック機能の有無認証機能にて総当たり攻撃に対して脆弱かを検査します。
ログアウト機能の不備ログアウト機能の有無やログアウト後にセッションが破棄されているかを検査します。
認証の不備認証機能を迂回できるような脆弱性や認証せずにアクセス可能な機密情報が無いかを検査します。

認可制御に関する検査

権限のない情報へのアクセス複数アカウントが存在するシステムにおいて、権限を超えて他アカウントの情報を参照・登録・変更・削除ができないかを検査します。
権限昇格複数権限が存在するシステムにおいて、下位権限のアカウントが上位権限のアカウントの情報を参照・登録・変更・削除ができないかを検査します。

セッションに関する検査

Cookieのsecure属性HTTPとHTTPSが混合するWebサイトにおいて、重要情報を持った Cookie がHTTPで送信されないかを検査します。
Cookieのhttponly属性重要情報を持ったCookieがJavaScriptからアクセスできないかを検査します。
長いセッションの有効期限セッションの有効時間が必要以上に長時間でないかを検査します。
セッション強度に関する調査セッションIDが第三者に特定可能な値に設定されていないかを検査します。
セッションフィクセーション第三者のセッションIDを攻撃者が指定した値に設定可能な脆弱性がないかを検査します。
セッションの管理方法の不備セッションの利用方法において、情報漏洩に繋がる実装がされていないかを検査します。
クロスサイト・リクエスト・フォージェリ攻撃者の用意したリンクをクリックすることによって、利用者が意図しないにかかわらず情報の登録・更新・削除等が発生する脆弱性がないかを検査します。

その他Webアプリケーションに関する検査

許可されているHTTPメソッド不要なHTTPメソッドが利用可能かを検査します。
システム情報の表示Webアプリケーションが出力するレスポンスヘッダやエラーメッセージ等にOSやアプリケーションのバージョン情報が表示されないかを検査します。
機密情報の送受信に関する調査パスワードや個人情報などの機密情報を暗号化せず平文で送信していないかを検査します。
ディレクトリリスティングディレクトリパスを指定することによって、ディレクトリ内のファイルが一覧表示されないかを検査します。
不用意な情報公開公開を意図していないファイルや情報が公開されていないかを検査します。
管理画面の検出攻撃者の標的になりやすい管理者用ログイン画面の有無を検査します。
既知の脆弱性が存在する
ソフトウェア
対象のWebアプリケーションにおいて脆弱性が報告されているバージョンのソフトウェアを使用していないかを検査します。
CORSポリシーに関する調査不適切なリソース共有の設定により、外部から対象サーバのリソースにアクセスが可能かを検査します。
キャッシュ制御の不備対象Webアプリケーションにおいて、機密情報がクライアント及び経路上でキャッシュされる設定になっていないかを検査します。
ロジック上の問題その他アプリケーション上で意図していない動作や何らかの被害が起こりうる設計上の欠点がないかを検査します。
お問い合わせ