Webアプリケーション脆弱性診断サービス
増え続けるWebアプリケーションからの情報漏えい
Webアプリケーションは、そのほとんどが独自に作成されたカスタムアプリケーションです。単一のパッチなどを適用すれば対策できるものではないため、パッケージソフトウェアなどと比較して脆弱性が存在する確率が高く、また、インターネット上に公開されているため攻撃者にとって狙いやすいターゲットです。最近の攻撃者は、金銭的価値のある重要情報の窃取が目的なことが多く、攻撃しやすいところから狙いを定める特性があります。Webアプリケーション脆弱性診断サービス
テクマトリックスが提供するWebアプリケーション脆弱性診断サービスは、お客様が保有するWebアプリケーションに対し、弊社エキスパートが診断を行うサービスです。セキュリティだけでなく、アプリケーション開発のノウハウを持ったエキスパートが、お客様のWebアプリケーションに網羅性の高い診断を提供します。リリース前のダイナミック(動的)診断だけでなく、ソースコードに対するスタティック(静的)診断のプランもご用意しております。Dynamic(動的)診断サービス
リリース前など、組みあがったWebアプリケーションに対する診断を実施するサービスです。| ダイナミックプラン |
|---|
|
Webアプリケーション脆弱性診断ツールを活用した脆弱性診断に加え、アプリケーションのロジックなども踏まえた手動での診断も実施します。テクマトリックスにて診断結果の精査・分析を行った上で結果を報告します。
|
Static(静的)診断サービス
ビルド済みWebアプリケーションのソースコードに対する診断を実施するサービスです。| スタティックプラン |
|---|
|
ツールを利用したソースコードに対する脆弱性診断を実施し、より早期かつ潜在的な脆弱性も含めた結果を報告します。
|
主な診断項目
| 診断項目 | ダイナミック プラン |
スタティック プラン |
|---|---|---|
| クロスサイトスクリプティング | ○ | ○ |
| SQLインジェクション | ○ | ○ |
| クロスサイトリクエストフォージェリ | ○ | |
| OSコマンドインジェクション | ○ | ○ |
| CRLFインジェクション | ○ | ○ |
| パストラバーサル | ○ | ○ |
| セッションフィクセーション | ○ | |
| バッファオーバーフロー | ○ | ○ |
| 書式文字列攻撃 | ○ | ○ |
| 脆弱なパスワードポリシー | ○ | |
| パスワードリセットの不備 | ○ | |
| アクセス制御の問題 | ○ | |
| 権限拡張 | ○ | |
| ファイルアップロードに関わる問題 | ○ | ○ |
| ビジネスロジックに起因する問題 | ○ | |
| コードインジェクション | ○ | |
| 暗号の問題 | ○ | |
| カプセル化 | ○ | |
| エラーハンドリング | ○ |
サービスの流れ
①ヒアリング
テクマトリックスにて用意したヒアリングシートを元に、Webアプリケーションの仕様や画面遷移、その他診断に必要な情報をヒアリングします。②シナリオ作成
ヒアリングを行った情報を元に、テクマトリックスにて診断のシナリオを作成します。※ スタティックプランの場合はソースコードをご提供頂きます。
③診断実施
対象Webアプリケーションに対して診断を実施し、結果を出力するとともに、緊急度の高いものについては速報をメールにてお知らせします。④結果分析
診断結果を元に、発生確率や被害の影響度を分析し、対策の優先度まで含めた診断結果報告書を作成します。⑤報告会
作成した報告書をベースに報告会を行い、各種対策のためのアドバイスや診断結果に対するQAを実施します。(QAは報告後1ヵ月間までサポートします)診断結果報告書
脆弱性の内容だけでなく、リスクの分析、対策の優先度を踏まえた形で作成した診断結果報告書を納品します。
定期診断/チケット診断
個別の診断だけでなく、定期的な診断やチケット制での診断もご用意しております。ニュース・キャンペーン
資料ダウンロード
脆弱性診断サービスに
関するお問い合わせ
テクマトリックス株式会社
東京本社ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業2課03-4405-7814
- メールでのお問い合わせ
- watchfire@techmatrix.co.jp