Webアプリケーション脆弱性診断(セキュリティ診断)

Webアプリケーション脆弱性診断の概要

サイバーディフェンス研究所のwebアプリケーション診断は、高い技術力をもつセキュリティエンジニアがサイバー犯罪者と同様の思考に基づく攻撃を実施することで、診断対象となるWebアプリケーションやWebサイトに潜む脆弱性を顕在化させます。
システムの特性とビジネスロジックを深く理解し、攻撃者視点での悪用価値を考慮したうえで、様々な攻撃を戦略的に試行することにより、一般的な脆弱性診断サービスやWebアプリケーション脆弱性スキャナでは発見出来ない脆弱性までも徹底的に洗い出し、推奨対策を提示します。

Webアプリケーションに関するペネトレーションテストのイメージ。リモート診断とオンサイト診断。

Webアプリケーション脆弱性診断とは

Webアプリケーション脆弱性診断とは、ブラウザ上で動作するソフトウェアやアプリケーション内に存在する脆弱性を洗い出すことで、攻撃者が悪用する可能性のある脆弱性を事前に発見し修正するための重要なセキュリティ対策の一つです。

診断結果に基づいた対策を行うことで、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害を未然に防ぐことが可能です。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com

Webアプリケーション診断サービスの詳細

特徴

脆弱性を徹底的に見つけ出す

当研究所のWebアプリケーション診断は、高度な技術、豊富な経験、非凡な攻撃センスを併せ持つ一流のセキュリティエンジニアが、対象となるWebアプリケーションの仕様を正確に理解し、リクエストに対する応答を考慮しながら、様々な攻撃を多角的に試行します。当研究所は、一般的な自動(ツール)診断や手動(マニュアル)診断とは一線を画する、深く、網羅性の高い診断をお約束します。

深く、多角的な脅威分析

当研究所の脅威分析は脆弱性単体の評価にとどまりません。 ビジネスロジックを理解したうえで発見した脆弱性がビジネスに与えるインパクトを評価すること、また複数の脆弱性の組み合わせによって実行可能な攻撃を分析することにより、貴社に生じうる真の脅威と優先して対処すべき課題を明確にします。


参考ブログ

①Ruby on Rails 脆弱性解説 - CVE-2016-2098

②Ruby on Rails 脆弱性解説 - CVE-2016-0752(前編)

③Ruby on Rails 脆弱性解説 - CVE-2016-0752(後編)

柔軟なサービス、きめ細やかなフォロー

大規模なサイトや機能が複雑なWebアプリケーションであっても、アプリケーションの仕様を踏まえた費用対効果の高い診断方針のご提案が可能です。 また、オンサイト作業、即日中の速報提出、改修箇所の確認など、お客さまのご要望に応じたきめ細やかなサービスを提供いたします。

PCI-DSS準拠のためのペネトレーションテスト/ASVスキャン

PCI-DSS準拠のためのペネトレーションテスト/ASVスキャンをワンストップでお任せいただけます。単にPCI-DSSへの準拠を支援するだけではなく、現実の攻撃に限りなく近い効果的なペネトレーションテストによって、本当のセキュリティリスクを確実に低減させます。

サイバーディフェンスが誇る専門チーム

サイバーディフェンス研究所には、国際的なCTF入賞経験のあるエンジニアに代表される優れたペネトレーションテスターに加えて、法執行機関での勤務経験者、脅威リサーチャー、重要インフラ制御システムの開発者など様々な専門性を持ったエキスパートが在籍しています。


サイバーディフェンス研究所なら、顧客の事業リスクを正確に捉え、守るべき対象を深く理解し、攻撃者と同様の思考に基づき卓越した攻撃を実行することによって、真の脅威を顕在化させるだけでなく、実効性のある対策の助言が可能です。

情報セキュリティサービス基準に適合

当研究所のWebアプリケーション診断は、経済産業省が定める『情報セキュリティサービス基準』に適合したサービスとして、『情報セキュリティサービス基準適合サービスリスト』に登録されています。

これは特定営利活動法人日本セキュリティ監査協会(JASA)による審査を経て、一定の技術的要件および品質管理要件を満たし、品質の維持向上に努めている情報セキュリティサービスであることを示すものです。



Webアプリケーション脆弱性診断の診断項目

No.タイトル概要
1. 認証セッション管理 認証セッションの発行、更新、破棄といった一連のサイクルにおける問題の有無を特定する他、強度の妥当性について検査します。
2. 認証Cookie 認証セッションにCookieを利用している場合、Cookieに付与される属性を検査します。
3. 入出力値検証 SQLインジェクションやクロスサイトスクリプティング、ディレクトリトラバーサル等の攻撃の起点になり得る入出力箇所を検査します。
4. リクエストの正当性 クロスサイトリクエストフォージェリ(CSRF)など、ログインした利用者又は何らかの処理を実行しうる利用者が、処理を意図せず実行させられてしまう可能性について検査します。
5. ロジック 課金やポイント処理等の不正利用の可能性について検査します。
6. アクセス制御 各利用者に与えられた権限以外の操作ができる可能性について検査します。
7. 重要な情報の管理 パスワードやクレジットカード、住所等の個人情報の取り扱い方法の妥当性について検査します。
8. メール送信機能 メール送信機能が存在するサービスの場合、宛先や本文等を不正に設定されることでスパムメールに利用される可能性や、連続大量送信等の迷惑行為を受ける可能性について検査します。
9. プラットフォームの設定 Webサーバやアプリケーションプラットフォームの設定不備による問題(ディレクトリリスティング、デフォルトエラーページなど)や暗号化通信(SSL)の適用状態などを検査します。

Webアプリケーション脆弱性診断の流れ

Step1. 事前調査

診断対象を選定いただきヒアリングシートをご記入いただいた後に、当社の方で診断対象のシステム構成を把握し、入念な事前調査を経てお客様の要望を考慮した診断方法の検討とスケジュールの調整を行います。 その後に費用のお見積もりと診断内容をご提案いたします。

Step2. 契約手続き

お見積もりと診断内容をご確認のうえ、問題がなければ診断実施のスケジュールを決定し、ご契約手続きを行います。

Step3. 診断準備

診断を実施するに際し影響を受けるおそれのある全ての関係者様に対して事前に周知を行っていただき、診断実施の社内共有をお願いしています。

Step4. 診断実施

対象となるWebサイトやWebアプリケーションに対して、攻撃者の視点で擬似的な攻撃を行い、SQLインジェクションやクロスサイトスクリプティングなどによる脅威の有無、ユーザの権限を超えた操作の可否などを検証します。
また、脆弱性を検出した場合、該当箇所のURLと想定される脅威、推奨する対策方法などを記載した速報を提出いたします。これにより危険度の高い脆弱性に対して迅速に対処いただくことが可能です。(速報は原則として診断当日の19:00までにメールで提出するものとし,提出時間に変更がある場合は事前にご連絡いたします。)

Step5. 脅威分析

脆弱性が発見された場合、個別の脅威だけでなくそれらの組み合わせによって大きな脅威となりうる可能性も考慮した入念な分析を行います。

Step6. 結果報告

Webアプリケーション診断の結果を報告いたします。結果を総括した総合評価となる「エグゼクティブサマリ」と発見された脆弱性の危険度、脆弱性を利用して成功した攻撃の分析レポート、推奨対策などを細かく記載した「脅威シナリオ」からなる報告書を納品いたします。

Step7. 再診断

検修後1ヶ月以内であれば、検出された問題の修正箇所に対する再診断を無償で実施いたします。(再診断の結果について報告書は作成いたしません。)

Webアプリケーションに関する脆弱性診断(ペネトレーションテスト)の一連のフロー。診断対象の選定や費用の見積もりといった事前調査、診断の日程を調整してからの契約手続き、診断準備を経て実際に診断を実施いたします。診断後は結果を分析して報告書を納品し、修正箇所に関する再診断を行います。

Webアプリケーション脆弱性診断の費用

対象アプリケーションの仕様、構成、規模などを伺った上で最適なお見積りをご提案致します。予算に応じた診断範囲をご提案することも可能です。下記お問い合わせよりお気軽にご相談ください。


その他のセキュリティ診断(脆弱性診断)サービスについて

サイバーディフェンス研究所ではアプリケーションのみならず、ネットワークや組み込みデバイス、制御システムなどを対象に、一流のセキュリティエンジニアによる高品質な診断サービスを提供しています。セキュリティ課題の解決ならサイバーディフェンスにご相談ください。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com