サービス・製品Services Products

Webシステム脆弱性診断サービス

Webシステムのセキュリティリスクを可視化し、
攻撃を未然に防ぐ対策方法をご提供します

Webシステム脆弱性診断サービスとは

Webシステムの脆弱性を最新の知見をもとに診断します。アプリケーション自体の脆弱性はもちろんのこと、旧バージョンのソフトウェアを継続利用することによるリスクや、求められる対策などについてご報告いたします。

本サービスのメリット

  • 現状システムの問題点を可視化

  • 定期診断することで最新の脆弱性、攻撃手法への対応はもちろんのこと、運用上の問題によるリスクも可視化

  • 開発ベンダーへ的確な修正依頼が可能に

  • 既存のセキュリティ規定が最新のセキュリティの脅威に妥当かの判断基準を提供

主な診断項目

No. セキュリティリスク分類 検証項目
1 既知の脆弱性 不要なメソッド/サービスの起動
2 バナーチェック
3 プラットフォームの既知の脆弱性
4 強制ブラウジング ディレクトリリスティング
5 強制ブラウジング
6 エラー処理状況
7 アプリケーション
プライバシーテスト
通信の暗号化強度
8 キャッシュ制御
9 クロスサイトスクリプティング クロスサイトスクリプティング
10 SQLインジェクション ユーザー認証処理
11 SQLインジェクション
12 コマンドインジェクション OSコマンドインジェクション
13 パラメータの改竄 ファイル機能(アップロード、ダウンロード)
14 アクセス権限
15 権限昇格
16 HTTPヘッダ・インジェクション
17 SSIインジェクション
18 パストラバーサル
19 LDAPインジェクション
20 アプリケーション
クオリティーテスト
エラー処理状況
21 セキュアプログラミング状況
22 アカウントロック機能
23 セッションハイジャック セッションID使用状況
24 Cookie使用状況
25 ログアウト機能
26 クロスサイトリクエスト
フォージェリ
クロスサイトリクエストフォージェリ
27 リファラ情報
28 コンテンツセキュリティ ロジック流出
29 情報管理
30 クライアント側コメント
31 バックドアとデバッグオプション バックドア、デバッグオプションの存在
32 危険な仕様 簡単ログインの実装
33 スタイルシートの登録

診断手法

ツール診断

診断ツールに蓄積された様々な攻撃スクリプトにより、対象システムを機械的に診断。

手動診断

エンジニアが対象システムの仕様を確認しながら攻撃コードを組み立て、危険なポイントを確実に検証。

診断の流れ

  1. お見積り
    対象システムのページ数、パラメータ数、IP数、等を基に御見積りを差し上げます
  2. キックオフ
    計画書をベースに、診断手法、スケジュール等の確認を行います
  3. 診断実施&速報
    診断を実施致します。危険度の高い脆弱性は速報メールにてご連絡を致します
  4. レポート作成
    検証結果報告書を作成致します
  1. 報告会
    (※必要に応じて)報告書を基に、対策方法等を補足説明致します
  2. 報告後

  3. 修正対応
    お客様側(開発委託先)でのご対応
  4. 修正確認
    指摘した脆弱摘箇所の修正確認(再現できないことを確認)

報告書イメージ

お問い合わせ

ご相談・お見積もりのみのご依頼も、お気軽にお問い合わせください。

03-5684-68409:00~17:45(土日、祝日を除く)

お問い合わせはこちら