Webアプリケーション脆弱性診断

概要

不正アクセス/情報漏えいリスクの把握と改善策の提示

Webサイトで会員登録やお問い合わせ、商品検索などの様々なサービス提供を実現するためのWebアプリケーション(※1)に対し、被害発生が想定されうる不具合(脆弱性)が存在しないか確認いたします。

脆弱性の存在しないWebアプリケーションの開発及び運用を行うことでWebサイトご利用者様に安心してサービスをご利用頂ける環境を実現します。


※1 Webアプリケーションとは、Webサイト上で提供される各種サービスを実現するため様々なプログラミング言語(Java,PHP,Perlなど)で開発されたアプリケーションを指します。

サービスイメージ

一般のご利用者様と同様にブラウザを使用してWebアプリケーションにアクセスし、その挙動からWebアプリケーションに存在するセキュリティリスクを洗い出します。Webアプリケーション検査ツール(VEX)を活用した網羅的なパラメータ操作による挙動の確認及びセキュリティ専門家によるリスクの評価、手動によるセキュリティ診断を実施いたします。

また検出された脆弱性について、発生原因、想定される被害、事象の再現方法、対応策を提示することで、お客様自身による事象の把握および適切な対応を行うことを支援いたします。


サービス内容イメージ図

サービスフロー


診断項目

プラチナ (手動)

ゴールドの範囲を含む全ての項目に対して手動を軸とした診断

業種及びサイト特性に合せ、応用的かつ複合条件で発生する問題への診断

ゴールドplus (VEX + 手動)

ゴールドをベースに、セッション管理の評価などを手動にて実施

独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが手動で結果精査を行います

ゴールド (VEX)

独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが手動で結果精査を行います

診断項目 プラチナ ゴールドplus ゴールド
SQLインジェクション
(SQL Injection)
OSコマンドインジェクション
(OS Command Injection)
パラメータ操作
(Parameter Manipulation)
クロスサイトスクリプティング
(XSS)
Cookieの使用方法
(Insecure Cookie)
不要なエラーメッセージ
バッファオーバーフロー
(Buffer Overflow)
セッションフィクセーション
(Session Fixation)
クロスサイトリクエスト
フォージェリ (CSRF)
HTTPSの使用方法
(Insecure Protocol)
不要な情報
(Unnecessary Information)
不要なディレクトリ・ファイル
(Unnecessary Files)
サーバの設定ミス
(Misconfigured Server Setting)
プログラムの既知の脆弱性
(Known Vulnerability)
なりすましによる不正利用  
ログイン・ログアウト機能の
妥当性
 
権限詐称による情報閲覧  
強制閲覧
(Forceful Browsing)
 
不要なHTMLソースコメント
(Client Side Comment)
 
コンサルタントの経験による
サイト特性に応じた応用的な調査
   

お問い合わせ

株式会社ユービーセキュア

営業統括部 営業部

TEL:03-5730-3033 FAX:03-5730-3055

メールでのお問い合わせ >