脆弱性コラム

資料ダウンロード

脆弱性コラム

「サイト脆弱性をチェックしよう！」

第1回：ウェブアプリケーションに潜む危険

Webアプリケーションには様々な脆弱性が混在するリスクがある。今回は設計時に混在する可能性がある脆弱性について解説する。

第2回：“正しい”ウェブアプリのコーディングとは

コーディング時に混在する可能性がある脆弱性を防ぐために正しいWebアプリケーションのコーディングについて解説する。

第3回：開発工程におけるレビューやテストのコツ

脆弱性の混在を防ぐために、開発の各工程でセキュリティを考慮して作業を行うことでアプリケーションに存在するリスクを低減できる。今回は設計時に実施するセキュリティ対策として、設計レビューについて解説する。

第4回：開発工程におけるレビューやテストのコツ (その2)

今回は開発工程のうちコーディング、テストで実施するセキュリティ対策について解説する。

第5回：XSSの脆弱性を検査する方法

クロスサイト・スクリプティング（XSS）はWebアプリケーションでよく発見される脆弱性である。今回はXSSが引き起こす被害例と検査方法、対策例について解説する。

第6回：SQLインジェクションの検査方法

SQLインジェクションは情報漏洩が発生した際の原因に挙げられることが多い。SQLインジェクションが発生する仕組みと検査方法、対策例について解説する。

第7回：「ディレクトリトラバーサル」と「強制ブラウジング」

ファイル操作・アクセスに関する脆弱性を用いて情報が漏洩することがある。今回は、ディレクトリトラバーサルと強制ブラウジングについて検査方法と対策例を解説する。

第8回：セッション管理における脆弱性

セッション管理が不適切であれば、ユーザーに成りすましてアプリケーションの操作が可能となる。今回はセッション管理にある脆弱性について検査方法と対策例を解説する。

第9回：AppScanによるアプリ脆弱性の自動検査

手動による脆弱性検査は高いスキルと手間がかかる。高いスキルが不要で手間もかからない自動検査ツールであるAppScanを使用した検査手法について解説する。

第10回：静的診断で脆弱性を見つけよう

動的診断は開発工程の最後に実施されるため、発見された脆弱性を修正することができないことがある。静的診断ではコードを書き上げた時点で脆弱性を発見できる。今回は静的診断の方法、特徴について解説する。

第11回：パスワードの暗号化保存について確認しよう

Webサイトが攻撃を受け、利用者のログインパスワードが漏洩したとの事例が度々報道されている。今回は保険的な対策としてのログインパスワードの暗号化保存について、適切に実施する上で確認すべきポイントを解説する。

第12回：パスワードの暗号化保存について確認しよう(その2)

前回のコラムでは保険的な対策としての安全なパスワード保存方法の要件と適切な変換方式について確認した。今回は適切な保存方法の具体的な内容について解説する。

第13回：モバイルアプリケーションに対する脅威

スマートフォン所有者のほとんどがスマートフォンに存在するリスクをあまり考慮しないままアプリケーションをインストールし、利用している。今回はモバイルアプリケーションに対する脅威を解説する。

第14回：CSRF（クロスサイト・リクエストフォージェリ）の検査方法

CSRF(クロスサイト・リクエストフォージェリ)はWebアプリケーション全体に影響を与えるため、重要処理を行うWebアプリケーションにおいて対策は必須だ。今回はCSRFの仕組みと対策について解説する。

第15回：SSRF（サーバサイド・リクエストフォージェリ）とは

Owasp Top10:2021から新しく追加されたSSRF(サーバサイド・リクエストフォージェリ)という脆弱性が注目されている。今回はSSRFの仕組みと対策を解説する。

第16回：XXE(XML外部実体参照)攻撃

XML外部実体参照攻撃は、XMLの仕様を悪用して外部ファイルを読み込ませる手法である。前回解説したSSRF攻撃に応用されることもある仕組みと対策を解説する。

第17回：安全でないデシリアライズ

実行中のデータやオブジェクトをバイト列に変換して取り扱いを容易にするシリアライズ/デシリアライズ。これに潜む脆弱性について解説する。

第18回：権限昇格　New!

ユーザが本来アクセス権を持たない機能やデータの閲覧、操作ができてしまう権限昇格。意図して予防しない限り、作りこんでしまう可能性のある脆弱性について仕組みと対策を解説する。

第19回：CORS（Cross-Origin Resource Sharing）　New!

近年Ajaxを代表とするWebの発達により、同一オリジンポリシーを回避した実装が求められるようになった。同一オリジンポリシーとCORS（Cross-Origin Resource Sharing）について解説する。
※サービスサイトブログへ遷移します。

第20回：CSP（Content Security Policy）　New!

クロスサイト・スクリプティング対策の伝家の宝刀と呼ばれるCSP（Content Security Policy）だが設定には注意を要する。CSPの設定方法と注意点について解説する。
※サービスサイトブログへ遷移します。

※第19回以降は、サービスサイトブログへ遷移します

番外編

第1回：脆弱性診断ことはじめイントロダクション＜前半＞

脆弱性診断サービス/脆弱性診断ツールのサポートの双方を提供しているテクマトリックスから、外部診断を依頼する、または内部診断を実施する際のフローをご案内いたします。
※サービスサイトブログへ遷移します。

第2回：脆弱性診断ことはじめイントロダクション＜後半＞

※サービスサイトブログへ遷移します

本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。

PICK UP

シリーズセミナー第2弾！Webサイトのセキュリティ診断内製化への道筋【全5回シリーズ】

シリーズで解説！Webサイトのセキュリティ診断内製化への道筋【全6回シリーズ】

イベント・セミナー

2024.05.21開催

2022.10.27開催

ニュース・キャンペーン

2021.09.24

テクマトリックスの脆弱性診断サービスが「情報セキュリティサービス台帳」への登録が更新されました

セキュリティ

すべて見る

導入事例

株式会社ソニー・ミュージックエンタテインメント様

セキュリティ診断チームの立ち上げまでの道のり　AppScanで「セキュリティスキルの標準化」「必須要件のセキュリティ対策の実施」を実現

定期診断はAppScan on Cloudでリリース後も継続してセキュリティレベルを維持

すべて見る

資料ダウンロード

製品カタログ・ホワイトペーパー

すべて見る

AppScanに
関するお問い合わせ

テクマトリックス株式会社
東京本社

ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業2課

03-4405-7814

フォームから問い合わせる

メールでのお問い合わせ: watchfire@techmatrix.co.jp