プレミアムプラン診断メニュー

WEBアプリケーション診断

Webアプリケーションの脆弱性(SQLインジェクションやクロスサイトスクリプティングなど)をツール及び手動で検査します。
セキュリティエンジニアが攻撃者の観点で、ロジック上の問題点含め網羅的に診断します。

診断項目

Authentication
Complete Mediation
意図していないリソースが公開されていないか、認証を必要とするリソースが意図していない形で公開されていないか確認します。
Server-Side Validation
認証の制御がサーバー側で行われており、その実装方法に問題がないことを確認します。
Passwords
パスワードが適切なハッシュ関数でソルトやストレッチングを用いて保存されているか確認します。
Session Management
Session Implementation
自前のセッション管理機能が存在しないことを確認します。自前で実装している場合は、一般的なセッション管理に対する攻撃に脆弱でないか確認をします。
Generation and Transport
セッションIDが十分なエントロピーで安全に生成され、URLやHTTPヘッダで公開されず、必ずタイムアウトされることを確認します。
Control and Termination
ユーザーがアクティブなセッションを明示的に終了することができるか確認します。
Access Control
Least Privilege Rule
最小特権の原則が存在することを確認します。なりすましや特権の昇格からの保護のため、ユーザは特定の権限を持つ機能、データファイル、URL、コントローラ、サービス、およびその他のリソースにのみアクセスできるよう実装されているか確認します。
Cross-Site Request Forgery & Cross Origin Resource Sharing
アプリケーションかフレームワークが十分な強度のCSRF対策やCORSの設定を行っているか確認します。
Parameter Tampering
パラメータの改ざんにより意図していないアクセスの許可が発生してしまわないか確認をします。
Malicious Input Handling
SQL Injection
すべてのSQLクエリの呼び出しが、prepared statementsまたはquery parameterizationを利用してSQLインジェクションに脆弱でないことを確認します。
Other Injections (LDAP, OS, …)
アプリケーションがLDAPやOSインジェクションの影響を受けず、十分なセキュリティ対策が実施されていることを確認します。
File Upload
信用されていないファイルデータが直接I/Oコマンドで書き出されていないか確認します。他にもpath traversalやfile mime typeなどを利用した攻撃に脆弱でないか確認します。
XXE and XML Injection
アプリケーションがXPathクエリの改ざん、XML External Entity攻撃、XMLインジェクション攻撃などの一般的な XML攻撃の影響を受けないことを確認します。
Automatic Variable Binding
アプリケーションのフレームワークがモデルに対するリクエストを自動生成する場合、変更が許可されていないフィールドがきちんと保護されているか確認します。
HTTP Parameter Pollution
GET, POSTのパラメータやHTTPヘッダなどでパラメータ汚染攻撃の影響を受けないことを確認します。
Server-Side Validation
クライアント側で行われている検証が、サーバ側でもきちんと行われていることを確認します。
Input Validation
HTMLフォームで入力された値だけでなく、利用する全ての入力値(クエリパラメータ, HTTPヘッダ, Cookieなど)が適切に検証されているか確認します。
Secure Contexts
あるDOMコンテキストから別のDOMコンテキストにデータが変換される場合、安全なJavaScriptメソッドを使用しているか確認します。
Open Redirects
URLのリダイレクトとフォワードが、ホワイトリストに登録された宛先のみを許可されているか、信頼されない可能性のあるコンテンツにリダイレクトする際には警告を表示するか確認します。
Size Limit
すべての入力が適切なサイズに制限されていることを確認します。
Data Protection
Client Side Cache
機密情報を含むすべてのフォームが、オートコンプリート機能を含むクライアント側のキャッシングを無効にしているか確認します。
Sensitive Data Transport
機密度の高いデータがquery stringなどrequest body, header以外の箇所にセットされ送信されていないか確認します。
Network Communication
Transport Encryption
有効なサーバー証明書を使用と、TLS によるセキュアな通信が行われているか確認します。
Strict Transport Security
HTTP Strict Transport Securityヘッダがすべてのリクエストとすべてのサブドメインに含まれていることを確認します。
Perfect Forward Secrecy
perfect forward secrecyが設定されていることを確認します。
Defined HTTP Methods
アプリケーションのAPIが想定しているリクエストメソッドのみ受け付けることを確認します。想定していないメソッド(PUT, PATCH, DELETEなど)による書き換えや削除などを防ぎます。
Content Type and Encoding
全てのHTTPレスポンスにContent-TypeとEncodingが含まれていることを確認します。
Trusted HTTP Headers
信頼できるプロクシやロードバランサなどで追加されたHTTPヘッダのみ利用されていることを確認します。
API Headers
全てのAPIレスポンスがX-Content-Type-Options: nosniffおよびContent-Disposition: attachmentを含むことを確認します。
Business Logic
Human Verification & Race Condition
TOCTTOUの競合などが発生しないか確認を行います。
REST API Protection
Cross-Site Request Forgery
クロスサイトリクエストフォージェリの対策が適切な方法(origin checks, double submit cookie pattern, csrf tokenなど)行われているか確認します。
Signed Payloads
クライアントとサービス間の信頼性の高い通信を確保するために、SOAPリクエストでJSON Web SigningまたはWS-Securityを使用して、メッセージペイロードが署名されていることを確認します。

価格

単体でのご依頼もお受けしております

WEBアプリケーション診断

¥1,000,000〜

お申し込みから
診断までのフロー

  1. 1

    ヒアリング

    診断内容、スケジュール、概要などをヒアリング

  2. 2

    事前調査

    ヒアリング内容をもとに診断対象を調査

  3. 3

    お見積もり

    ヒアリング・事前調査内容をもとに御見積書をご提出

  4. 4

    診断実施

    セキュリティ専門家による診断作業の実施

  5. 5

    診断内容の分析

    診断結果を精査、分析

  6. 6

    報告書の提出

    検出された脆弱性のご報告、具体的な対策案の提示

プレミアムプラントップへ戻る

サービス詳細や料金についての
ご質問・ご相談など
お気軽にお問い合わせください

資料請求・お問い合わせ