Webアプリケーション
Webサイトの脆弱性による、脅威と影響をご存じですか?
- Webサイトの不正アクセスにより、会員サイトに登録された個人情報が漏えい
- Webサイトの記事が改ざんされ、企業イメージが大幅ダウン
- Webサイトの脆弱性を突かれ、Webサービスがダウンし過大な機会損失
攻撃のイメージ
正常な通信を装っているため、ファイアウォールを通過してしまう
Webアプリケーション脆弱性診断メニュー
Webアプリケーション脆弱性診断サービスでは、
お客様Webサイトの安全な運用を支援します。
- Webサーバー上で稼動するアプリケーションを対象に診断を実施します。
- 「Webアプリケーション脆弱性診断(自動診断+プロ診断)」は、診断ツールでの診断に加え、診断ツールで診断できない部分をペネトレーション技術を持った診断員により手動診断できます。この診断では、GUIから呼び出されないAPIの診断も可能です。
- ※APIの診断対象はお客様で管理されているAPIのみになります。
- 「Webアプリケーション脆弱性診断(自動診断)」は、脆弱性の有無の確認に加え、診断後3カ月以内であれば、再診断が無料で実施でき、是正の確認まで行えます。
- 「Webアプリケーション脆弱性診断(自動診断ライト)」は、短期間で診断でき、お求めになりやすい価格でお手軽に脆弱性の有無を確認できます。
| サービス名称 | ツール | 手動 診断 |
再診断 | QAサービス | 報告会 | 対象 | 価格 |
|---|---|---|---|---|---|---|---|
| Webアプリケーション 脆弱性診断(自動診断+プロ診断) |
〇 | 〇 | 〇 | 〇 | オプション | 10ページまで | 75万円~ (追加1ページ3万円) |
| Webアプリケーション 脆弱性診断(自動診断) |
〇 | - | 〇 | 〇 | オプション | 1サイト(同一FQDN 内100ページ相当) |
50万円〜 |
| Webアプリケーション 脆弱性診断(自動診断ライト) |
〇 | - | - | オプション | - | 1サイト(同一FQDN 内100ページ相当) |
20万円〜 |
診断イメージ
サービスフロー
Webアプリケーション脆弱性診断(自動診断および、自動診断+プロ診断)は
お申し込みから約4週間で診断可能
Webアプリケーション脆弱性診断(自動診断ライト)は
お申し込みから約2週間で診断可能
報告書(レポート)サンプル
主な検査項目
| 診断カテゴリー | 概要 |
|---|---|
| 認証 | ユーザー情報の列挙 |
| パスワードの脆弱性(脆弱なパスワードの使用など) | |
| 権限確認・アクセス制限(他のユーザーでアクセス可能か) | |
| 強制ブラウジング | |
| セッション管理 | セッションIDの強度 |
| セッションCookieの属性チェック | |
| セッションの推測 | |
| ログアウト後のセッション無効化 | |
| セッションフィクセイション | |
| クロスサイトリクエストフォージェリ(CSRF) | |
| 情報漏えい | エラー処理での情報漏えい |
| 不要な情報・ファイルの公開 | |
| HTTPヘッダーからの情報漏えい | |
| クライアントサイトでの情報漏えい | |
| コメントからの情報漏えい | |
| デバッグ機能の使用 | |
| 入出力処理 | クロスサイトスクリプティング(XSS) |
| バッファーオーバーフロー(メモリーリーク) | |
| LDAPインジェクション | |
| ディレクトリートラバーサル | |
| コマンドインジェクション | |
| SQLインジェクション | |
| NOSQLインジェクション | |
| 改行インジェクション | |
| リンクインジェクション | |
| SSIインジェクション | |
| パラメーター推測 | |
| XXE | |
| オープンリダイレクト | |
| リクエスト改ざん | |
| センシティブなデータの送信 | |
| クリックジャッキング | |
| その他 | 通信の暗号化 |
| HTTPヘッダーのセキュリティ設定 | |
| Webサーバーの設定 |
※ OWASPTOP10とIPAの安全なWebサイトの作り方、ASVS4.0に対応しています。
Cyber NEXT 脆弱性診断サービスは、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。
| お電話でのお問い合わせ (受付時間:平日9:00-17:45) |
03-5783-3181 |
