ホーム
サービス
セキュリティ診断
スマートフォンアプリ脆弱性診断

スマートフォンアプリ脆弱性診断

一流のハッカーによる網羅性の高いセキュリティ診断

概要
サービス詳細
診断項目
サービスフロー

概要

サイバーディフェンス研究所のセキュリティ診断（脆弱性診断・ペネトレーションテスト）は、高い技術力をもつセキュリティエンジニアがサイバー犯罪者と同様の思考に基づく攻撃を実施することで、スマートフォンアプリに潜む脆弱性を顕在化させます。
アプリサービスごとの仕様や特性を把握し、様々な攻撃を戦略的に試行することにより、一般的な脆弱性診断サービスや脆弱性スキャナでは発見出来ない脆弱性までも徹底的に洗い出し、アプリの信頼性向上に貢献します。

スマートフォンアプリに関するペネトレーションテストのイメージ。

サービス詳細

特徴

脆弱性を徹底的に見つけ出す

当研究所のスマートフォンアプリケーション診断は、高度な技術、豊富な経験、非凡な攻撃センスを併せ持つ一流のセキュリティエンジニアが、対象となるスマートフォンアプリケーションの仕様を正確に理解し、リクエストに対する応答を考慮しながら、様々な攻撃を多角的に試行します。当研究所は、一般的な自動（ツール）診断や手動（マニュアル）診断とは一線を画する、深く、網羅性の高い診断をお約束します。

深く、多角的な脅威分析

当研究所の脅威分析は脆弱性単体の評価にとどまりません。ビジネスロジックを理解したうえで発見した脆弱性がビジネスに与えるインパクトを評価すること、また複数の脆弱性の組み合わせによって実行可能な攻撃を分析することにより、貴社に生じうる真の脅威と優先して対処すべき課題を明確にします。

柔軟なサービス、きめ細やかなフォロー

オンサイト作業、即日中の速報提出、改修箇所の確認など、お客さまのご要望に応じたきめ細やかなサービスを提供いたします。

サイバーディフェンスが誇る専門チーム

サイバーディフェンス研究所には、国際的なCTF入賞経験のあるエンジニアに代表される優れたペネトレーションテスターに加えて、法執行機関での勤務経験者、脅威リサーチャー、重要インフラ制御システムの開発者など様々な専門性を持ったエキスパートが在籍しています。

サイバーディフェンス研究所なら、顧客の事業リスクを正確に捉え、守るべき対象を深く理解し、攻撃者と同様の思考に基づき卓越した攻撃を実行することによって、真の脅威を顕在化させるだけでなく、実効性のある対策の助言が可能です。

サイバーディフェンスが誇るスペシャリスト

診断項目

No.	タイトル	概要
1.	認証セッション管理	認証セッションの発行、更新、破棄といった一連のサイクルにおける問題の有無を特定する他、強度の妥当性について検査します。
2.	認証Cookie	認証セッションにCookieを利用している場合、Cookieに付与される属性を検査します。
3.	入出力値検証	SQLインジェクションやクロスサイトスクリプティング、ディレクトリトラバーサル等の攻撃の起点になり得る入出力箇所を検査します。
4.	リクエストの正当性	クロスサイトリクエストフォージェリ(CSRF)など、ログインした利用者又は何らかの処理を実行しうる利用者が、処理を意図せず実行させられてしまう可能性について検査します。
5.	ロジック	課金やポイント処理等の不正利用の可能性について検査します。
6.	アクセス制御	各利用者に与えられた権限以外の操作ができる可能性について検査します。
7.	重要な情報の管理	パスワードやクレジットカード、住所等の個人情報の取り扱い方法の妥当性について検査します。
8.	メール送信機能	メール送信機能が存在するサービスの場合、宛先や本文等を不正に設定されることでスパムメールに利用される可能性や、連続大量送信等の迷惑行為を受ける可能性について検査します。
9.	プラットフォームセキュリティ	プラットフォームの設定 Webサーバやアプリケーションプラットフォームの設定不備による問題（ディレクトリリスティング、デフォルトエラーページなど）や暗号化通信（SSL）の適用状態などを検査します。