Webアプリケーションを起点とした機密情報の漏洩を防ぐソリューション
サイバー攻撃による情報セキュリティへの被害は、企業運営に重大なインパクトを与える要素になっています。情報漏洩が原因で上場廃止になったケースや、不正利用が多発したことによりサービス停止になったケース、そのどれもが、セキュリティの対策をしておけば未然に防げる可能性があったことです。
Webアプリケーションに由来するセキュリティ事故は、Webアプリケーションの設計や実装の不備をつかれ、脆弱性を悪用されるものが大多数です。
ポルトのWebアプリケーション脆弱性診断では、セキュリティの専門家が各システムの処理やビジネスロジックに応じて、手動診断で脆弱性を検証します。モバイル向けサイト、コンテンツやシステム構成に応じて、明確に伝わる詳細な報告書を作成いたします。
手動診断では、GraphQL、WebSocket、Firebase、gRPCといった技術要素に対しても対応しています。通常の手動診断では確認できない脆弱性があるため、アプリケーションがどのような仕様であるかを踏まえ、処理に応じて攻撃リクエストを送るためのプログラムやツールの作成し、各要素特有の観点を含めて診断します。
IPAやOWASPの各基準にも対応しています。お気軽にお問合せください。
脆弱性診断プラン
- ●ライトプラン
- ツールをメインに、Webサイトの脆弱性を網羅的に診断。結果をもとにWebサイトやシステムをセキュリティのスペシャリストが検証しご報告します。
セキュリティの現状が気になる方や対策に費用をかけづらいお客様にオススメ - ●アドバンスドプラン
- 手動診断を中心に、システムの特性やビジネスロジックに関わる脆弱性もセキュリティのスペシャリストが診断します。
セキュリティ事故を回避したい企業様や事業リスクを把握したい企業様にオススメ - ●ハイエンドプラン
-
特定のプロトコルやフレームワークを使用している場合、自動診断・手動診断に加え、専門性が求められる特有の診断手法を用いた脆弱性診断を行います。
GraphQLやWebSocketなどを使用して開発している企業様にオススメ- GraphQL診断
- gRPC診断
- tRPC診断
- MQTT診断
- ゲームチート診断
- WebSocket診断
- SalesForce診断
- ※ご予算に合わせた実施も可能ですので、お気軽にお申しつけください。
当社ではシステムやご要件に沿った形で診断観点や診断対象のURLをご提案いたします。 - ※実施時期が確定しているものや脆弱性診断の実施期日が短いものについてもお気軽にご相談ください。迅速に対応します。
診断観点
株式会社ポルトでは、専門家が以下の観点で脆弱性診断を実施します。
記載のない観点においても、検出した脆弱性は報告書にまとめて記載します。
| カテゴリ | 脆弱性名 | 脆弱性概要 |
|---|---|---|
| 入出力処理に関する脆弱性 | クロスサイトスクリプティング | WebページにJavascriptを注入・実行可能な脆弱性。 |
| SQLインジェクション | SQLの呼び出し方に不備があり、攻撃者が任意のSQLを実行可能な脆弱性。 | |
| OSコマンドインジェクション | 攻撃者が任意のOSコマンドを実行可能な脆弱性。 | |
| HTTPヘッダインジェクション | HTTPレスポンスヘッダに攻撃者が意図した内容を挿入される脆弱性。 | |
| メールヘッダインジェクション | Webサイトがメールを送信する機能において、改行コードを挿入することでメールの宛先や本文の改ざん、メールの大量送信等が可能である脆弱性。 | |
| XXEインジェクション | XMLデータを外部から受け取り、処理する際に起こる問題。 | |
| LDAPインジェクション | LDAP(Lightweight Directory Access Protocol)クエリを変更し、意図しないコマンドが実行可能な脆弱性。 | |
| その他各種インジェクション | 上記以外の各種インジェクションに伴う脆弱性。 | |
| オープンリダイレクト | Webサイトが意図しないURLへユーザを遷移させてしまう脆弱性。 | |
| ディレクトリトラバーサル | 不正なファイルパスを入力することで、本来アクセスできないファイルにアクセス可能な脆弱性。 | |
| ファイルインクルージョン | PHPのソースの一部を別ファイルから読み込む機能において、外部のURLをファイル名として指定できる脆弱性。 | |
| 任意ファイルのアップロード及び公開 | ファイルをアップロードする機能において、意図しない形式のファイル (スクリプト等) をアップロードすることが可能な脆弱性。 | |
| バッファオーバーフロー | 許容量以上のデータによってデータ構造をオーバーフローさせ、サービス拒否状態を引き起こしたり任意のコードを実行する攻撃。 | |
| 入力値フィルタの回避 | ユーザから受け取る入力値を処理する機能で、入力値検証の問題により本来は許可されない行為を許してしまう問題。 | |
| 安全でないデシリアライゼーションの可能性 | シリアライズされたデータを未検証のままデシリアライズすることによって、ロジックが書き換えられたり、任意のコードが実行可能な脆弱性。 | |
| 認証に関する脆弱性 | ログインフォームおよび秘密情報の入力フォームに関する調査 | ログインフォームや他の秘密情報を入力するフォームの情報管理に不備があり、重要情報が第三者に漏えいする問題。 |
| エラーメッセージによる情報推測 | 記号や桁数のお起きた文字列などの不正な値を送信した際、サーバ内部のエラー情報が表示される問題。 | |
| 平文による秘密情報の送受信 | Webアプリケーションのパスワード等の秘密情報を暗号化せずに平文で送受信し、第三者に漏えいする問題。 | |
| アカウントロックアウトの不備 | アカウントロックにかからないようにログイン試行が可能な状態。 | |
| ログアウト機能の不備 | ログアウト時にサーバ側でセッションが無効化されない、もしくは、ログアウトボタンなどが存在せず、ユーザが任意のタイミングでログアウトすることができない問題。 | |
| パスワード変更または再発行機能の悪用 | パスワードリマインダの機能を悪用して第三者がパスワードの取得や再設定を行える脆弱性。 | |
| 強制ブラウズ | アクセス制御の不備により、認証を要するページに認証なしに直接アクセスできる脆弱性。 | |
| 認証の不備 | 正規のユーザIDとパスワードを使用せずに、認証機能を回避してログインすることができる問題。 | |
| 認可に関する脆弱性 | 認可制御の不備(権限昇格) | Webアプリケーションの特定の機能を、本来利用する権限を持たないユーザが利用できる脆弱性。 |
| 認可制御の不備 | HTTPリクエストパラメータ等に含まれる値を書き換えることにより、本来はアクセスできてはならない他の利用者の情報にアクセスすることができる脆弱性。 | |
| セッション管理に関する脆弱性 | Secure属性のないセッション管理用Cookie | HTTPS接続を行うサイトで、セッションIDを含むCookieにSecure属性が付与されていない脆弱性。 |
| 長いセッション有効期限 | ログイン後の画面で利用されるセッションがサーバ側で長時間保持される問題。 | |
| 強度の低いセッションID | Webサーバが利用者に対して発行するセッションIDについて、値に規則性があり第三者が推測または算出可能である問題。 | |
| セッションフィクセーション | ログインなどのセッションを有効化する機能における不備により攻撃者が用意したセッションIDを他者に使用させることができる問題。 | |
| セッション管理方法の不備 | WebサーバによるセッションIDの発行、利用、管理全般について、なりすまし行為や情報漏洩を招く脆弱性。 | |
| クロスサイトリクエストフォージェリ | 例えば情報の登録、更新、削除などデータに影響を与える機能について、正しい遷移元画面からの実行かの検証がないことにより利用者が意図せぬ行為を実行させることができる問題。 | |
| Webサーバ設定に関する脆弱性 | 許可されているHTTPメソッド | WebサーバがサポートするHTTPメソッドに不要なものを許可している問題。 |
| ディレクトリリスティング | ディレクトリにアクセスした際、ディレクトリ内に存在するディレクトリやファイルのリストか索引表示され、システム情報や機密情報にアクセス可能な問題。 | |
| システム情報の表示 | Webアプリケーションからのエラーメッセージなどにサーバやデータベース等の内部情報が出力される問題。 | |
| 管理画面の検出 | 攻撃の標的になりかねない管理者機能を提供している管理者用ログイン画面が外部アクセス可能な問題。 | |
| TLS/SSL関連 | TLS / SSL (HTTPS)についての設定不備。 | |
| クライアントサイド技術に関する脆弱性 | 適切でないCrossOriginResourceSharingポリシー設定 | レスポンスヘッダ「Access-Control-Allow-Origin」の設定により無関係なサーバ上に設置されたJavaScriptプログラムから対象サーバの機能が利用可能な問題。 |
| SameOriginPolicy回避につながる脆弱性 | Webサイトに、Webブラウザによる同一生成元ポリシーによる保護を迂回できてしまう問題。 | |
| 一般的な脆弱性 | 既知の脆弱性が存在するソフトウェア | 「システム情報の表示」等の項目でソフトウェアのバージョン情報を取得可能で、かつ既知の脆弱性が存在する問題。 |
| 不用意な情報公開 | 本来公開されるべきではないテスト用ファイルや設定ファイル等が外部から閲覧可能な問題。 | |
| アプリケーション仕様や |
ロジック上の問題点 | パラメータの上限値等システム上で課されている制約について、サーバでの検証が不十分なため検証を迂回することができる脆弱性。 |
| サービス妨害 | 過負荷やロジック上の問題などによってWebサイトが利用できなくなる脆弱性。 | |
| キャッシュ制御の不備 | `Cache-Control`ヘッダの設定不備により、キャッシュされたデータが漏洩する可能性がある問題。 | |
| 秘密情報を含むURL | URLのパラメータ(パスパラメータ含む)でメールアドレスやセッションIDなどの重要情報を送信する問題。 | |
| クリックジャッキング | ユーザを視覚的にだまして正常に見えるWebページ上のコンテンツをクリックさせ、別のWebページのコンテンツをクリックさせる攻撃。 | |
| レースコンディション状態の悪用 | ある処理がタイミングによっては他の処理に影響し、予期せぬ結果を生み出す脆弱性。 | |
| システムのSPAM行為への悪用 | メール送信機能を利用するWebアプリケーション等で、第三者へ迷惑メールやフィッシングメールを送信できるといった脆弱性。 | |
| パスワードポリシーの推奨事項 | 1111のように短い文字列やIDと同じ文字列などをパスワードとして登録可能な問題。 | |
| マスクされていないパスワードフィールド | パスワードフィールドにtype="password"のような制限がなく入力したパスワードがそのまま表示される問題。 | |
| 機微情報の平文保存 | 重要な情報を暗号化せずに平文のままファイルやデータベース、Cookieなどに保存している脆弱性。 | |
| メール送信機能の不正利用 | メール送信時のサーバ側の検証不備により、宛先や送信内容を変更可能で、第三者へ迷惑メールやフィッシングメールを送信できるといった問題。 |
Webアプリ/WebAPI脆弱性診断は情報セキュリティサービス基準に適合しています
株式会社ポルトのWebアプリ/WebAPI脆弱性診断は、経済産業省が策定した「情報セキュリティサービス台帳」に登録されています。詳細はこちらをご確認ください。