Webアプリケーション脆弱性診断
本サービスは、お客様のホームページ(Webアプリケーション)を診断し、現在のセキュリティ上のリスクを可視化します。
Webアプリケーション脆弱性診断とは
Webアプリケーション脆弱性診断の特徴と導入のメリット
Securifyプラン(オート診断)
パートナー契約企業の「Securify」を使用した診断プランです。
診断対象のURLを登録するだけで、お客様自身で脆弱性診断ができます。
また、発見された脆弱性対応状況や診断サイクルを管理することができます。
Webアプリケーション脆弱性診断プラン(マニュアル診断)
Webアプリケーションの操作により、オート診断では検出が難しい脆弱性が存在する場合があります。マニュアル診断では、そうした画面や操作にも柔軟に対応し、脆弱性の発見と報告を行うことが可能です。
Webアプリケーション脆弱性診断プラン(マニュアル診断)
参考価格:800,000円~ (20画面の場合)
※Webサイトの構成によって値段が変動します。
詳細はこちらをご確認ください。
お客様の所有するWebアプリケーションに合わせた選べる診断プラン
診断実施後の改修から再診断まで幅広く対応
※オート診断・マニュアル診断対応
「Webアプリケーション脆弱性診断プラン」の検査項目
詳細な検査内容につきましては、お気軽にお問い合わせください。
| 検査項目 | 概要 | 注意が必要なWebサイト |
|---|---|---|
| SQLインジェクション | SQLを混入しDBを不正に改ざん | Webサイト内でデータベースを使用している |
| OSコマンド・インジェクション | 入力値で任意のOSコマンド実行 | 外部プログラムを呼び出し可能な関数を使用している |
| ディレクトリ・トラバーサル(パス・トラバーサル) | 「../」を悪用し非公開ファイル閲覧 | ウェブサーバ内のファイル名を直接指定している |
| セッション管理の不備 | セッションIDを奪取し不正アクセス | ログイン機能を持ち、特に決済処理や非公開情報を扱っている |
| クロスサイト・スクリプティング(XSS) | 未エスケープで悪質なスクリプト実行 | セッション管理やログイン画面、個人情報入力画面等が存在している |
| クロスサイト・リクエスト・フォージェリー(CSRF) | 外部から偽リクエストで不正操作実行 | セッション管理を行い、決済処理等の重要な処理を行っている |
| HTTPヘッダ・インジェクション | ヘッダ改行でレスポンス分割誘発 | ヘッダを動的生成し、Cookie管理やキャッシュサーバを構築している |
| バッファオーバーフロー | 長入力でバッファ溢れ・任意コード実行 | メモリ操作可能な言語で開発されたウェブアプリケーションを利用している |
| アクセス制御や認可制御の欠落 | 権限確認不足で機密データ閲覧可能 | ID指定だけで操作を許可している |
診断結果報告書
エグゼクティブサマリー
診断実施後の総評や対策指針などを記載・セキュリティレベル
・総評
・リスク
・対策指針
診断結果
セキュリティレベルや発見された脆弱性などを記載・評価基準
・指摘件数
・指摘事項一覧
・検査項目
指摘事項詳細
発見された脆弱性の詳細情報を記載・指摘事項の危険度
・説明
・対象画面の検証例
・対策法
診断構成情報
診断対象や期間など検査に関する情報を記載・診断情報
・診断PC環境
・診断対象一覧
「Webアプリケーション脆弱性診断プラン」サンプル報告書
関連製品