診断項目
ツールによる自動診断とセキュリティエンジニアによる高度な手動診断を組み合わせたFlatt Securityの脆弱性診断サービスです。OWASP Top 10 - 2017をベースの診断項目として最新のセキュリティリスクに対応した当社独自の診断項目を追加しています。
※こちらの診断項目は随時アップデートを行っており、最新版が未反映の可能性があります。最新版はお問い合わせ時にダウンロード可能なセキュリティ診断サービス資料を参照してください。
インジェクション
| 診断項目 | 診断方法 |
|---|---|
| SQLインジェクション | 外部から与えられたパラメータを利用してSQL文を組み立てる場合に、組み立て方の不備によりデータベース内の非公開の情報が閲覧されてしまったり、情報が改ざんされてしまう脆弱性がないか検査します。 |
| OSコマンドインジェクション | Webアプリケーションからシェルを呼び出せる機能で、OSコマンドの組み立て方の不備により、外部から指定した任意のOSコマンドを実行できるような脆弱性がないか検査します。 |
| HTTPヘッダインジェクション | 外部から与えられたパラメータを利用してHTTPレスポンスヘッダを生成する際に、生成方法の不備によりHTTPレスポンスヘッダに意図しない要素が追加されてしまう脆弱性がないか検査します。 |
| ファイルインクルージョン | Webアプリケーションで読み込むファイルを外部から指定できる機能において、指定できるファイルの検証不備により意図しないファイルが読み込まれ情報漏洩が起きてしまう脆弱性がないか検査します。 |
| コードインジェクション | 外部から受け取ったパラメータをeval関数などで実行する際に、意図せず悪意あるコードが実行されてしまう脆弱性がないか検査します。 |
| XXEインジェクション | 外部から与えられたXMLを処理する機能において、外部実体参照を悪用してサーバ内のファイル情報の漏洩などにつながる脆弱性がないか検査します。 |
| メールヘッダインジェクション | 外部から与えられたパラメータを利用してメールを送信する機能において、メールヘッダの生成方法の不備により不正にメールヘッダにフィールドを追加できるような脆弱性がないか検査します。 |
| クロスサイトスクリプティング | 外部から受け取ったパラメータを利用してHTMLやJavaScriptを出力するWebページで、出力方法の不備により悪意あるJavaScriptを埋め込まれてしまうような脆弱性がないか検査します。 |
認証
| 診断項目 | 診断方法 |
|---|---|
| ログインフォームの不備 | ログインフォームで、パスワード入力欄がマスクされているかどうか検査します。 |
| ログイン試行のエラーメッセージ | ログイン失敗時に外部に表示されるメッセージに攻撃者にとって有益な情報が含まれていないか検査します。 |
| アカウントロック機能の不備 | ログイン機能において、アカウントロックの仕組みにロックを回避できる問題などがないか検査します。 |
| ログアウト機能の不備 | ログイン機能を提供するサービスにおいて、ログアウト時に適切にセッションが破棄されるかどうか検査します。 |
| 認証の回避 | パスワードの認証を回避してログインできるような脆弱性がないか検査します。 |
| 強制ブラウジング | ログインしたアカウントでしか使用できない機能において、URLを直接指定してアクセスすることで認証をせずに使用できるような脆弱性がないか検査します。 |
| ユーザ登録フローの不備 | ユーザ登録フローに不備があり、アカウントの乗っ取りや個人情報の漏洩がないか検査します。 |
| パスワード変更機能やパスワードリセット機能の不備 | パスワード変更時に変更前のパスワード情報が入力が必要となっていることや、パスワードリセット時に再発行するまでの流れに問題がないか検査します。 |
| 脆弱なパスワードポリシー | 第三者が容易に特定できるようなパスワードを設定できる問題がないか検査します。 |
認可
| 診断項目 | 診断方法 |
|---|---|
| 権限昇格 | 管理者用機能のような権限を所有していないと操作できない機能において、一般ユーザの権限で実行できるような脆弱性がないか検査します。 |
| 認可制御の不備 | 情報の所有者のみアクセスできることを想定してしているような機能において、権限を持たないユーザが情報にアクセスできるような脆弱性がないか検査します。 |
セッション管理
| 診断項目 | 診断方法 |
|---|---|
| Cookieのsecure属性の欠如 | セッション管理をするCookieにおいてsecure属性が設定されているか検査します。 |
| セッションの有効期限 | セッションの有効期限が非常に長く設定されているような問題がないか検査します。 |
| セッションIDのランダム性確認 | セッションIDの生成方法において推測可能な問題がないか検査します。 |
| セッションフィクセーション | 外部からセッションIDを固定できるような問題がないか検査します。 |
| クロスサイトリクエストフォージェリ | パスワードの変更機能や掲示板への書き込み機能などにおいて、利用者が意図しないリクエストが送信されてしまった場合に通常通り処理してしまう脆弱性がないか検査します。 |
一般的な脆弱性
| 診断項目 | 診断方法 |
|---|---|
| 既知のソフトウェア脆弱性 | 使用しているソフトウェア(OSやライブラリなど)のバージョンが推測可能な場合に、使用しているバージョンに存在する既知の脆弱性の影響を受けないか検査します。 |
| ディレクトリリスティング | ディレクトリ配下のファイルを一覧を表示する機能が意図せず公開されていないか検査します。 |
| 不要なHTTPメソッド | Webサーバが不必要なHTTPメソッドを許容していないか検査します。 |
| サーバーエラーメッセージ | サーバのエラーメッセージに攻撃者に有益な情報が含まれていないか検査します。 |
| システム情報の開示 | HTTPのレスポンスヘッダやシステムのエラー情報などから、使用しているシステムやそのバージョンのような情報が取得できないか検査します。 |
仕様や設計の不備や脆弱性
| 診断項目 | 診断方法 |
|---|---|
| ロジックの不備 | 特定の条件を満たさないと実行できない機能で条件を回避できる脆弱性や、システムの想定していないパラメータを処理してしまい攻撃者に有益な結果を与えてしまうような脆弱性がないか検査します。 |
| レースコンディション | 複数の処理で共有してアクセスする資源がある際に、トランザクション処理の不備などにより意図しない処理が行われてしまわないか検査します。 |
| メール送信機能の悪用 | メールを送信する機能で、不正に送信先や送信内容を指定することで迷惑メールやフィッシングメールを送信できるような脆弱性がないか検査します。 |
| キャッシュ制御の不備 | WebサーバやCDNのキャッシュの設定不備により、第三者に見られてはいけない情報がキャッシュされてしまう問題がないか検査します。 |
| ディレクトリトラバーサル | 外部から与えられたパラメータで指定されたファイルにアクセスする機能において、想定していないファイルが指定されることでファイルの閲覧や改ざんが可能となるような脆弱性がないか検査します。 |
| ファイルアップロードの不備 | ファイルをアップロードできる機能において、想定していない形式のファイルがアップロードされる問題やアップロードしたファイルの公開設定に不備がないかを検査します。 |
| オープンリダイレクト | 外部から与えられたパラメータを利用してリダイレクト先を決める機能において、任意のリダイレクト先を指定できる脆弱性がないか検査します。 |
| SSRF(サーバーサイドリクエストフォージェリ) | サーバの機能を悪用して、本来アクセスすることができない内部リソースの情報を読み取ったり、改ざんできるような脆弱性がないか検査します。 |
| 安全でないデシリアライゼーション | 外部からシリアライズされたデータを受け取ってデシリアライズする機能において、デシリアライズ時に任意コードが実行されてしまうような問題がないか検査します。 |
| 平文による機微情報の送受信 | パスワードや個人情報などの機微な情報が、通信経路上暗号化されず平文で送受信されている問題がないか検査します。 |
| 機微情報のGETパラメータでの受け渡し | パスワードや個人情報などの機微な情報がGETパラメータでやり取りされることにより、意図せずアクセスログに出力されてしまう問題がないか検査します。 |
クライアントサイドのセキュリティチェック
| 診断項目 | 診断方法 |
|---|---|
| Web Storageへの機微情報格納 | WebStorageに格納されている情報は容易にJavascriptからアクセス可能であるため、機微情報がWebStorageに含まれていないか検査します。 |
| クリックジャッキング | マウスやキーボード操作のみで使用可能な機能において、視覚的な細工をすることで利用者に意図しない操作をさせる攻撃が可能となる問題がないか検査します。 |
| 不適切なCross-Origin Resource Sharingの利用 | 不適切にCross-Origin Resource Sharingのポリシーが設定されてしまっていることにより、アクセス制御に問題がないかを検査します。 |
より高度なセキュリティ診断をお求めの場合は100項目以上の診断を行うOWASP ASVS準拠の診断やウェブペンテストのご提供も可能です。
Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。
Webアプリケーション診断のコラム記事
脆弱性診断(セキュリティ診断)の価格や見積もり検討時点で知っておきたいこと。Webアプリケーション診断を始めよう
脆弱性診断(セキュリティ診断)の発注は慣れていないと手順や予算もなかなかわからないもの。そんな発注担当者の皆様の悩みを解決すべく、ビジネス職の視点からエンジニアにインタビュー形式でWebアプリケーション診断について教えてもらいました。
脆弱性診断実施の必要性はいつ生じる?事例をベースにタイミングや頻度を考える
自社プロダクトのセキュリティを高めるために脆弱性診断を行いたいが、どのタイミングで行うのが適切なのか判断が難しいという開発者の方は多いのではないでしょうか。実際に、判断基準は多岐にわたり「いついかなる場合でもこのタイミングに行うのがベスト」というものはありません。しかしそのタイミングを見極める基準をゼロから構築するのも一定の根拠などがなければ難しいと思います。今回は「プロダクトの脆弱性診断をいつどのように行うと効果が高いのか」を弊社にご依頼いただいたお客様の事例を交えながらお伝えします。
お見積もりは無料です。診断のご依頼はお気軽にお問い合わせください。
Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。
