概要

当研究所の「Webアプリケーション診断」は、Webアプリケーション上に潜在する脆弱性を、経験豊富な診断エンジニアがサイト攻撃者の視点に立ち、擬似攻撃を行う事で顕在化させます。その手法は、ペネトレーションテスト方式であり、診断エンジニアの完全手作業によるものです。ツールでは検出ができない脆弱性に対して有効なテスト方式であり、実際に攻撃が行われた場合を想定した仮想被害を把握するのに最も効果を発揮します。当然ツールで検出される脆弱性についても手作業によって検出し、報告します。

特長

• 診断エンジニアの完全手作業による診断(ペネトレーションテスト方式)を行います。
• 攻撃者目線による脆弱性の洗い出しを行います。
• 検出された脆弱性を組み合わせた脅威シナリオにより、実際のリスクの想定が容易になります。
• 脆弱性が検出された箇所の報告以外にも想定される影響、推奨対策まで報告します。
• リモート診断・オンサイト診断など診断環境は柔軟に対応いたします。

情報収集／標的（脆弱点）の絞り込み、既知の脆弱性を列挙します。
脆弱性DBを用いてパターンマッチング検査を行います。

プラットフォーム上の設定不備、単純なセキュリティ対策の漏れによる脆弱性を検出します。

• プラットフォームのバージョン情報から既知の脆弱性の存在確認
• 単純な入出力値の無害化処理不足箇所の特定
  • SQL/コマンドインジェクション
  • ディレクトリトラバーサル
  • クロスサイトスクリプティング
  • ヘッダインジェクション
• プラットフォーム上に存在する不要なファイル・ディレクトリの捜索
• 認証Cookieの属性確認
• ブラウザに個人情報が保存される(キャッシュされる)箇所の特定
　など

対象システムに潜在する脅威を想定し、弱点をさらに掘り下げます。

一般的なツールのみの脆弱性診断では、上記までの作業で終了しますが、当研究所診断サービスではさらに弱点を掘り下げます。

• アプリを実際に利用して、性質を完全に把握します。
• アプリと、DBやメール配信システムとの連携を把握します。
• 正規の手順を踏まえて、機密データが格納される場所を全て特定します。
• 想定される脅威シナリオを見極める為、システム固有の耐セキュリティ性の強度、弱点を特定します。

絞り込んだ脆弱性で、実際に攻撃できるかを調査します。

• 全てのパラメータ(hidden含む)を強制表示させ、パラメータ捏造検査を実施。
• GET/POST Method を改ざん。

クライアント〜サーバ間のHTTPステータスのセキュリティ強度確認。

• ヘッダ改ざんによる影響範囲を特定。
• セッションデータ汚染、セッションハイジャックの可能性を調査。

主な診断項目：
ディレクトリスキャン及び既知の脆弱性情報抽出/ http status・get・post 不正操作/認証、セッション管理の脆弱性検査/パラメータ不正入力検査/XSS,CSRF,CRLF検査/各種 Injection 検査(SQL Injection等)/DoS,バッファオーバーフロー(ご希望に応じて実施)等

擬似アタック

これまでの検証結果を組み合わせて、擬似ハッキング検査を実施。

ポイント

• 脆弱性単体ではリスク度が不明であったとしても、このような連鎖的なハッキングが成功すると、個人情報漏洩等の大きな実害に結びつく危険性がある。
• 更に一連の攻撃は、IPSに検知されにくい程、静かに実行できる。
• 些細な脆弱性だとしても、Webアプリの仕様によっては、甚大な損失をもたらす地雷原になり得る。

脅威特定/分析/ペネトレーション実施結果報告

脆弱性の再現手順を個別に明記します。また対策方法についても詳細にご説明致します。総合評価では、システム全体としてのセキュリティ強度や、実際にハッカーに情報を搾取される危険性についてコメントし、今後の対策まで触れていきます。

報告内容

• 診断要件や対象システム説明
• 総合評価（エグゼクティブサマリ）
• 再現方法と修正方法を詳細に説明(画面データはオプション)

お客様のご要望や予算に応じて、診断規模や要件をご提案いたします。

ポータルサイト動的/静的コンテンツ

• 診断ポイント： 5〜10
• 診断パラメータ数：20〜40

ポータルサイト動的/静的コンテンツ

• 診断ポイント：100〜
• 診断パラメータ数：500〜
• 診断日数：1週間〜

Eコマース・課金サイト動的/静的コンテンツ

• 診断ポイント：300〜
• 診断パラメータ数：2000〜
• 診断日数：2週間〜