お役立ち資料
自動診断ツールでは拾えない脆弱性を発見します
安全なWebアプリケーションを開発するために、多くの企業が自動診断ツールを開発プロセスに導入しています。自動診断ツールによるWebアプリケーションの診断は、ツールの使い方さえ習得してしまえば、セキュリティの専門家を必要とせずとも、Webアプリケーションが安全であるかの結果を知ることがでます。一方で自動診断ツールでは検知が難しい、Webアプリケーションのセキュリティ上の問題というのも存在します。それらは経験豊富なセキュリティの専門家により診断を行い、自動診断ツールのみでは見逃されがちな複雑なセキュリティ上の問題を特定します。
本サービスでは自動診断ツールを導入しているが、経験豊富なセキュリティの専門家でないと発見できない、セキュリティ上の問題を発見します。個社ごとに使用している自動診断ツールと組み合わせることで、Webアプリケーションを安心してご利用いただける環境を実現します。
・SQLインジェクション/OSコマンドインジェクション/LDAPインジェクション
・クロスサイトスクリプティング
・クロスサイトフォージェリ
・Cookieの設定不備
・HTTPヘッダの設定不備
機械的に判断できる脆弱性の検知には強い
・特権階級の権限へのなりすまし/任意のユーザへのなりすまし
・セッション管理の不備(セッションの固定化, セッション汚染攻撃)
・ファイルアップロード機能/ダウンロード機能(拡張子改ざん、バイナリ改ざん、CSVマクロインジェクション)
・認証設計のベストプラクティスの確認(アカウントロック、推奨するべきパスワードルール等)
システムの仕様を理解していないと判断できない
脆弱性の検知には弱い
Reason 01
Reason 02
Reason 03
ユービーセキュアの診断サービスはセキュリティのプロフェッショナルが対象のWebアプリケーションのシステム設計やご依頼の背景をお伺いしたうえで、様々な診断サービスを組み合わせた最善のサービスを提案いたします。
システム特性や機能要件に応じてカスタマイズしてご提案
個別見積もりとなります。
その他、ご要望に応じて個別メニューも承りますので、詳細はお問い合わせください。