脆弱性ページ  

脆弱性診断サービス

  WEBサイトやサーバを安全な環境へと導き、 御社のサービス利用者を守る。

御社のWEBサイトやサーバは大丈夫ですか?健康診断を推奨します。

御社のWEBサイトやサーバは大丈夫ですか?
健康診断を推奨します。

情報漏えい
データ改ざん
サイバー攻撃
ウイルス感染
情報漏えい データ改ざん
サイバー攻撃 ウイルス感染

手遅れになる前に、セキュアエッジが高精度な診断でサポートします!

なぜ脆弱性診断を行うのか?

脆弱性を狙ったサイバー攻撃の数は年々増えてきており、 またその目的や攻撃手法、ターゲットは多岐にわたっております。 弊社の脆弱性診断は、お客様のWebサイトや機器に対し 攻撃者と同じ視点から疑似攻撃を行うことで、 攻撃されるリスクを調査し報告するサービスです。

脆弱性が引き起こす会社への被害

経営へのダメージ

会社経営の中でホームページでの情報配信は欠かせないものになっており、脆弱性の大半がWebアプリケーションに関するもので占めている中、Webの脆弱性の診断・対策を行わないことによって、ホームページの一時停止や閉鎖が起こりえます。

信頼の損失

顧客情報の漏洩、取引先との信頼低下、自社ブランドの低下や風評被害、またセキュリティーに対する調査費用や構築費、場合によっては損賠賠償もあり得ます。 手遅れになる前に、是非とも一度WEB脆弱性診断サービスを受けることをお勧め致します。

多額の賠償金

個人情報漏洩・顧客情報の漏洩に関して過去に被害者が損害賠償(慰謝料)を求めた事例が複数あります。 そうした事例は一人当たりの賠償額は千円~1万円以上になり、企業として支払う賠償総額が数千万~数億円以上になった事例もあります。

脆弱性診断サービスについて

2019年度でサイバー攻撃は約3,279億件と調査結果が出ており、2010年の約56億件から約58倍の数字となっております。
(NICT-情報通信研究機構参照)
危険性の高まる一方のWEBの世界において、豊富な診断経験とスキルをもったセキュリティの専門家が提供するWEB脆弱性診断サービスを弊社は提供しております。
御社のサービスをWebの脅威から監視をチェックし経営へのダメージ、信頼の損失を防ぐサービスとなっております。

サービス内容

Services

Web アプリケーション脆弱性診断

WEBサーバ上で稼動する各種WEBアプリケーションの動的ページに対して、弊社のエンジニアが脆弱性を調査致します。 手動での診断になりますので、自動診断に比べ、より正確な診断をお約束致します。

プラットフォーム脆弱性診断

弊社のエンジニアが、サーバやネットワークに潜むセキュリティ上の問題点を診断して情報漏えい、改ざんの発生防止のお手伝いをいたします。サーバの設定や不要な情報を与えていないかなどを中心に診断をさせていただきます。

ペネトレーションテスト

弊社のエンジニアが、実際に社内のネットワークに侵入して、特定の意図をもつ攻撃者が攻撃に成功するかどうかを検証するテストになります。 ペネトレーションテストは攻撃を予防するものになり、WEBアプリケーション診断・プラットフォーム診断は攻撃されるリスクを事前に発見することになります。

検知できる攻撃

Detection

N0. 診断科目 危険度 内容
1 SQLインジェクション データベースと連携したWebアプリケーションが問い合わせ命令文の実装方法に問題があることにより、任意のSQLを実行されてしまう脆弱性。
2 コマンドインジェクション 外部からの攻撃により、任意のOSコマンドが不正に実行されてしまう脆弱性。
3 CRLFインジェクション HTTPレスポンスヘッダに改行コードを挿入されることにより、意図しないヘッダーフィールドなどを追加されてしまう脆弱性。
4 反射型クロスサイトスクリプティング(XSS) 外部からの入力により、HTMLタグやJavaScriptが実行されてしまう脆弱性。
5 持続型クロスサイトスクリプティング(XSS) 外部から入力されたHTMLタグやJavaScriptがデータベースに保存され、入力された内容を表示する際に保存されたHTMLタグやJavaScriptが実行されてしまう脆弱性。
6 Dom Basedクロスサイトスクリプティング(XSS) JavaScriptを表示する箇所で、外部から入力されたHTMLタグやJavaScriptが実行されてしまう脆弱性。
7 メールヘッダインジェクション メールヘッダに改行コードを挿入されることにより、意図しないヘッダフィールドなどを追加されてしまう脆弱性。
8 evalインジェクション Webアプリケーションに実装されているeval関数に対して任意のスクリプトコードが挿入されることにより、任意のスクリプトコードが実行されてしまう脆弱性。
9 パストラバーサル(ディレクトリトラバーサル) ファイル名指定の実装に問題があり、第三者に任意のファイルを指定されることにより、Webアプリケーションが意図していない処理を実行されてしまう脆弱性。
10 XML外部エンティティ参照 (XXE) XMLを使用している機能に外部実体参照が行われることにより、Webサーバ内のファイルなどを閲覧されてしまう脆弱性。
11 オープンリダイレクト Webアプリケーションがリダイレクトを行う機能において、意図していないURLにリダイレクトを行われてしまう脆弱性。
12 シリアライズされたオブジェクト 攻撃者が用意したシリアライズされたデータを読み込まされることにより、デシアライズした際に任意のオブジェクトを生成され任意のコードを実行されてしまう脆弱性。
13 リモートファイルインクルージョン(RFI) スクリプトを外部から読み込ませる際に、攻撃者が指定した外部サーバのURLがファイルとして読み込まされることで、任意のスクリプトを実行されてしまう脆弱性。
14 クリックジャッキング Webページに透明なHTMLなどを上に重ねて罠となるリンクやボタンを設置されることにより、意図しないコンテンツにアクセス・実行させられる脆弱性。
15 認証回避 正規のユーザ名・IDとパスワードを使用せずに、ログインされてしまう脆弱性。
16 ログアウト機能の不備や未実装 ログアウト後に継続的にログイン状態が保持されてしまう脆弱性。
17 過度な認証試行に対する対策不備や未実装 アカウントロック機能が備わっていないまたは十分な認証試行の回数制限を行っていない脆弱性。
18 脆弱なパスワードポリシー パスワード文字列の作成の際に、最低限必要な文字数、文字列、文字種の制限が十分に設定されていない脆弱性。
19 復元可能なパスワード保存 中~高 レスポンス内容や、パスワードリマインダ機能により外部からパスワードを確認されてしまう脆弱性。
20 パスワードリセットの不備 パスワードリセット機能に不備があることにより、パスワードリセットを行ったユーザ以外の第三者にパスワードを取得されてしまう脆弱性。
21 認可制御の不備 ログイン後の画面やログインしたユーザが限定的に使用できる機能が、本来権限のない第三者に操作、閲覧されてしまう脆弱性。
22 クロスサイトリクエストフォージェリ(CSRF) ログイン中のユーザにリクエストを強制的に実行させることができることにより、ユーザの権限を利用して投稿機能や決済などの機能を実行させることができる脆弱性。
23 URL埋め込みのセッションID リクエストURLにログイン可能なセッションIDを埋め込んでいる脆弱性。
24 セッションフィクセイション(セッション固定攻撃) 攻撃者の用意したセッションIDがユーザに強制されてしまう脆弱性。
25 推測可能なセッションID セッションIDの生成ロジックに不備があることにより、セッションIDを推測されてしまう脆弱性。
26 CookieのHttpOnly属性未設定 セッションIDなどの重要なCookieにHttpOnly属性が未設定である脆弱性。
27 HTTPS利用時のCookieのSecure属性未設定 セッションIDなどの重要なCookieにSecure属性が未設定である脆弱性。
28 クエリストリング情報の漏洩 中~高 リクエストURLに重要情報が埋め込まれている脆弱性。
29 キャッシュからの情報漏洩 中~高 Webアプリケーションのキャッシュ制御に不備があることにより、プロキシ・キャッシュサーバなどにキャッシュされた情報が別のユーザのブラウザに表示されてしまう脆弱性。
30 パスワードフィールドのマスク不備 パスワードを入力する欄にマスク不備があることにより、ブラウザ上にパスワードが表示されてしまう脆弱性。
31 画面表示上のマスク不備 マスクすべき重要情報がマスクされておらず、表示されている脆弱性。
32 HTTPSの不備 中~高 機微情報を取り扱っているWebページがHTTP通信を行っている脆弱性。
33 不要な情報の存在 低~高 HTMLやJavaScriptなどに「攻撃者に有益な情報」や「公開不要な情報」が公開されている脆弱性。
34 ディレクトリリスティング 中~高 Webサーバ上の公開を意図していないリソースがファイル一覧表示されてしまう脆弱性。
35 バージョン番号表示 サーバやアプリケーション、ミドルウェア、フレームワークなどのバージョンが表示されている脆弱性。
36 不要なHTTPメソッド TRACEメソッドが使用できる状態になっている脆弱性。
37 公開不要な機能・ファイル・ディレクトリの存在 低~高 サンプルファイルやバックアップファイルなど、アプリケーションの動作に不要なファイル、不特定多数に公開する必要がないファイルが公開されている脆弱性。
   脆弱性診断の特徴  

セキュアエッジが提供する
「WEB脆弱性診断サービス」の特長

セキュアエッジの特徴

プラットフォーム診断を無償でご提供!* WEB開発経験者による高精度なセキュリティ診断! 次世代ファイアウォール導入サービスやアクセスログ解析を提供するセキュリティエンジニアも多数在籍!

診断結果

弊社ではお客様専用のレポートを作成いたします。

  • 検知した脆弱性
  • 脅威度
  • 脆弱性の再現方法
  • 対策方法

をわかりやすく記載し、お客様にご報告いたします。レポートとは別に「検知した脆弱性の実演」や、「経営上のリスク」などを説明する報告会のオプションもございます。

WEBアプリケーションの診断フロー

事前調査[1~2週目]

お客様には事前にヒアリングシート(診断対象、内容)のご記入をいただき、お客様のシステム仕様を把握する為、事前調査を行います。

診断&報告書の提出[3~4週目]

診断の開始・終了の際は都度お客様にご連絡します。 *緊急時の高い脆弱性を検知した場合、迅速にお客様に速報としてご連絡いたします。

報告会[5週目]

診断で検知した脆弱性を元にお客様専用の報告書を作成し、ご提出いたします。

Q&A[5~6週目]

脆弱性の再現、リスク、セキュリティ対策をわかりやすく報告いたします。

オプション

Option

       

事前調査[1~2週目]

お客様には事前にヒアリングシート(診断対象、内容)のご記入をいただき、お客様のシステム仕様を把握する為、事前調査を行います。

事前調査[1~2週目]

お客様には事前にヒアリングシート(診断対象、内容)のご記入をいただき、お客様のシステム仕様を把握する為、事前調査を行います。

MENU