企業をサイバーセキュリティのリスクから守る『OODAセキュリティ』 » 脆弱性診断(セキュリティ診断) » Webアプリケーション診断 » Webアプリケーション診断の項目

Webアプリケーション診断の項目

セキュリティの対策を行う上で、Webアプリケーション診断を行いたいと考える場合もあるでしょう。こちらの記事では、Webアプリケーション診断ではどのような項目について診断が行われるのかといった点についてまとめていますので、参考にご覧ください。

Webアプリケーション診断の主な診断項目

ここでは、Webアプリケーション診断の主な診断項目について紹介します。実際に診断を行うときには、それぞれのWebアプリケーションによって診断項目を選択した上で実施されます。

認証診断

認証機能に不備がないかを確認します。例えば、ユーザー認証を回避してログインされるといった危険性がないかどうか、ログインIDやパスワードへの攻撃に対する強度が十分あるかなどの診断を行います。

セッション管理診断

Webアプリケーションのセッション管理について不備がないかどうかを確認します。セッションハイジャックによって別のユーザーになりすましが行われる危険性がないかを診断します。

クロスサイトスクリプティング診断

クロスサイトスクリプティングの脆弱性を利用した攻撃が行われないかという点を確認。Webページに対し、悪意あるスクリプト文字列やHTMLタグなどが挿入されないかをチェックします。

SQLインジェクション診断

Webアプリケーションを通じ、データベースから情報の抜き出しが行われる危険性がないかを診断します。

暗号化方式のチェック

暗号化の強度は十分かどうか、重要な情報について暗号化された上で送信が行われているか、といった点について診断を行います。

ユーザ側が安心してサイトを利用できるかのチェック

フィッシング詐欺による被害を受けにくいサイトの仕様になっているかどうかなど、ユーザーが安心してサイトを利用ができるかどうかの診断を行います。

Webアプリケーション固有の問題についてのチェック

診断を行うWebアプリケーションに固有の動作がある場合に、ユーザーに影響を及ぼすような問題がないかどうかの診断を行います。

アルファネットのWebアプリケーション診断項目

スタンダード

代表的な攻撃手法であるSQLインジェクションやクロスサイトスクリプティングなどを用いた診断サービスです。

  • SQLインジェクションの脆弱性
  • クロスサイトスクリプティングの脆弱性
  • クロスサイトリクエストフォージェリの脆弱性
  • OSコマンドインジェクションの脆弱性
  • Webコンテンツのディレクトリ一覧の閲覧可能性
  • メールヘッダインジェクションの脆弱性
  • ディレクトリトラバーサルの脆弱性
  • オープンリダイレクトの脆弱性
  • HTTPヘッダインジェクションの脆弱性
  • 不適切な認証制御
  • セッションIDの推測可能性
  • セッションフィクセーション検査
  • Cookieのsecure属性の問題
  • 不適切な認可制御
  • 不適切なクエリストリング利用
  • 不適切なCookie利用
  • ログアウト機能における問題
  • 不適切なエラーメッセージ
  • 不適切なパスワード保存
  • エラーページのWebアプリケーション情報漏えい
  • 自動返信メールの内容改ざん可能性
  • HTTPヘッダの問題

アドバンスド

スタンダードの全ての診断項目を網羅し、それに加えて多数の脆弱性の有無を診断できるプランです。

アルファネットのWebアプリケーションセキュリティのスペシャリストが、実際の攻撃者と同じように、手動で検査をしてくれます。

サイバー攻撃を受けた場合、自社のビジネスに多大な影響を及ぼす会社におすすめなプランです。

  • SSIインジェクションの脆弱性
  • XMLインジェクションの脆弱性
  • XPathインジェクションの脆弱性
  • LDAPインジェクションの脆弱性
  • hiddenパラメータ改ざんによる不正な情報の登録可能性
  • 不適切なhiddenパラメータの利用
  • SSLサーバ証明書の問題
  • SSL利用の問題
  • クライアントサイドコメントの情報漏えい
  • Webアプリケーションのロジック問題

まずは費用について相談・問い合わせをしてみてください。

アルファネットの公式HPから
Webアプリケーション診断の
費用について相談する

Webアプリケーション診断について
詳しく見る

取材協力
株式会社アルファネット
多種多様な企業の状況に合わせ
セキュリティ対策を根本から支える

当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。

大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。

巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。

提供するWeb
アプリケーション診断

Webサービスの動的ページに対し、外部から疑似攻撃

  • 攻撃手法
    SQLインジェクション/クロスサイトスクリプティングなど
  • 洗い出せる危険性
    Webサイトの機密情報漏えい/なりすまし/フィッシング被害/ネットショップサイトの価格改ざんなど

予算に合わせて診断対象を選定するプランもあるため、まずは問い合わせてみてください。

アルファネットの公式HPから
Webアプリケーション診断の
詳細を確認・価格を問い合わせ

電話で問い合わせる