ハイブリッドWebアプリケーション脆弱性診断は、自動診断ツールと診断員による手動診断を組み合わせることで、クイックWebアプリケーション診断では確認のできない診断項目も対象に網羅的で確実性の高い脆弱性診断サービスです。
ツール診断だけでは発見が困難な脆弱性を中心に調査することで、以下のようなリスクを検出します。
|
はじめての診断にオススメ ハイブリッド診断 網羅的な診断を実施し、高いセキュリティ対策を目指す場合におすすめです。 |
再診断・スピード重視に クイック診断 短期間で低価格に診断を実施したい場合におすすめです。 |
|
|---|---|---|
| 診断方法 |
専用ツールによる自動診断に加え、診断員による手動診断 |
専用ツールによる自動診断 |
| 診断対象 |
ログイン / ログアウト等の認証機能、権限設定の認可、セッション管理を含む重要な画面 |
すべての画面 |
| 診断期間 |
最短1ヶ月~3ヶ月 |
最短3週間~1ヶ月以内 |
| 適合性 |
セキュリティ対策を強化したい重要なWebサイト |
個人情報を取り扱わないWebサイトなど |
早急に改修が必要であると見込まれたリスクの高い脆弱性に対して、診断期間中に速報という形でご報告を行います。
速報事例
初回診断の報告書ご提出日から3カ月以内のお申し出に限り、検出された脆弱性に対して無償で再診断を実施いたします。
| OWASP TOP 10 | Webアプリケーションのセキュリティリスクに焦点を当てたガイドライン |
|---|---|
| OWASP ASVS 4.0 | アプリケーションのセキュリティを詳細に評価するための包括的な評価ガイドライン |
| PCI-DSS 4.0 | クレジットカード情報のセキュリティを保護するための国際的なデータセキュリティの評価基準 |
ユービーセキュア社の経験とノウハウに基づき、上記の脆弱性を網羅した上で、
さらに脆弱性診断の精度を高めるべくユービーセキュア社で培った経験やノウハウから必要と判断する項目を追加しております。
国内シェアNo.1の
脆弱性診断ツール
「Vex/ユービーセキュア社」
×
プロの診断員の目と技術、
各種セキュリティガイドライン規格で診断!
「ハイブリッドWebアプリケーション脆弱性診断」なら、
金融・行政・ECサイトなどセキュリティの厳しいシステムやWebサイトに最適です。
Webアプリケーションの設計や実装、ロジック等に起因し、 不正侵入や情報漏洩、サービス不能に陥る脆弱性がないか診断。
実際に不正な値の入力や、リクエスト改ざん、不正コードの挿入等の擬似攻撃を行い確認します。
お客様環境への影響を最小限にするため、検証環境での診断をおすすめしております。
クイック診断との違い
手動診断により、ログイン / ログアウト等の認証機能、権限設定の認可、
セッション管理についても網羅的に診断いたします。
Webアプリケーション脆弱性診断では、主に下記の項目について診断を行っています。
| クロスサイトスクリプティング | パラメータを送信しているリクエストについて、各パラメータにタグ、JavaScriptを挿入し、レスポンスでそのまま表示されないか確認する。 |
|---|---|
| SQLインジェクション | パラメータを送信しているリクエストについて、各パラメータにSQL文として特殊な働きをする文字を入力して、レスポンスを確認する。 |
| OSコマンドインジェクション | パラメータを送信しているリクエストについて、各パラメータにset、cd、dirなど操作コマンドを入力し、レスポンスの変化を確認する。 |
| ディレクトリトラバーサル | パラメータを送信しているリクエストについて、各パラメータに/../../../../etc/hostsなどディレクトリを遡るような文字を入力し、レスポンスの変化を確認する。 |
| HTTPヘッダインジェクション | パラメータを送信しているリクエストで、パラメータ入力値がレスポンスヘッダに表示されるものについて、%0D%0Aの改行文字を入力し、改行が有効でないか確認する。 |
| フィッシング詐欺サイトへの誘導 | パラメータを送信しているリクエストの各パラメータについて、google、yahooなど他WebサイトのURLを入力し、そのURLにレスポンスで遷移しないか確認する。 |
| パラメータ改ざん | 送信パラメータ内に価格や会員ポイント、ポイントの増減値が含まれている場合に、値をマイナスなどに変更してみて、実行結果を確認する |
| メールの第三者中継 | パラメータを送信しているリクエストの各パラメータについて、改行文字+Mailヘッダを入力し、送信されてくるメールや画面のレスポンスを確認する |
| ログインフォームに関する調査 | パスワードフィールドのマスクが有効か無効か確認する。 |
|---|---|
| ログインエラーメッセージの調査 | ログインエラーメッセージからユーザIDやパスワードが推測できないか確認する。例:正しいIDと間違ったパスワードでログインした際のエラーメッセージと、ID,パスワードともに間違っている場合のエラーメッセージを比べてみる。 |
| ログイン・個人情報の送受信に関する調査 | ログイン情報、個人情報送受信時の通信を確認する。 |
| アカウントロック機能 | アカウントの発行が容易、複数のアカウントが存在する場合は、実際にパスワードを複数回間違えて、ロックアウトされるかどうか確認する。 |
| ログアウト機能 | ログイン後にログアウトを明示的に実行する手段があるかどうか確認する。 |
| 認証の回避 | ログイン後のページについては、そのページを表示するためのリクエストを未ログインのブラウザから送信し、ページが表示されないか確認する。 |
| 権限昇格 | 管理者アカウント、一般アカウントが存在する場合に、管理者権限での操作を一般アカウントでも実行可能でないか確認する。管理者での操作実行リクエストを一般アカウントでログイン中のブラウザから送信し、実行可能でないか確認する。 |
|---|---|
| 権限のない情報へのアクセス | 送信パラメータ中にユーザIDやグループID、他にもアクセス先データを示すユニークな値が含まれている際に、その値を権限の無いデータのものに変更するなどして、権限の無いデータを閲覧、変更できないか確認する。 |
| CookieのSecure属性の確認 | SSLを使用するWebサイトの場合、セッションや重要な情報を持つCookieにsecure属性が付与されているか確認する。 |
|---|---|
| Cookieの有効期限の確認 | セッションIDや重要な情報を持つCookieが長期間保持される状態になっていないか確認する。 |
| セッションIDのランダム性確認 | Cookieやパラメータに含まれるセッションIDについて、発行される値に一定の条件が無いか確認する。 |
| セッション固定 | ログイン操作時に新たにセッションIDが発行されているか確認する。また、発行されていた場合でも、旧IDにてログイン状態にならないか確認する。 |
| セッションの強制指定 | セッション固定の問題が存在している場合に、PHPSESSID、jsessionidといったセッションID送信用のパラメータに、任意のセッションIDを指定したリンク、リクエストを作成し、そのリンクやリクエストを他ユーザに送信させることで任意のセッションIDをそのユーザに使用させることができないか確認する。 |
| クロスサイトリクエストフォージェリ(CSRF/XSRF) | ログイン情報変更、パスワード変更、退会、決済処理といった重要な操作について、特定のリクエストを送信させることで実行できてしまわないか確認する。 |
| サーバエラーメッセージ | Webアプリケーション側が想定していないような文字を入力した際に、ソースコードの一部やシステム情報などの情報を含んだエラーメッセージが表示されないか確認する。 |
|---|
| Flashコンテンツの脆弱性 | crossdomain.xmlが存在していないか確認し、存在している場合は中身を見て、不特定多数のドメインに対してアクセスが許可されていないか確認する。 |
|---|---|
| Ajaxコンテンツの脆弱性 | パラメータを送信しているAjaxからのリクエストについて、各パラメータにタグ、JavaScriptを挿入し、レスポンスでそのまま表示されないか確認する。 |
IFTの料金形態はお客様ごとの個別お見積もりとなります。
Webサイトの構成によって料金に変動がございますので、まずは右上フォームよりお問い合わせください。
| 基本料金 |
200,000円(税込) ※上記は10リクエスト分を含む料金となっております。以降、1リクエストごとに加算されるボリュームディスカウント体系となります。
|
|---|
| 依頼内容 |
サイト全体の脆弱性診断 |
|---|---|
| 診断数・費用 | ハイブリッドWebアプリケーション診断 100万円(税込)~ |
| 依頼内容 |
サイト全体の脆弱性診断 |
|---|---|
| 診断数・費用 | ハイブリッドWebアプリケーション診断 70万円(税込)~ |
上記のプランに加えてオプションサービスもご用意しています。
複数オプションの組み合わせも可能で、ご予算・ご要望に合わせたプランを組み立てることができます。
いずれもお見積り時にご案内・ご提案いたしますので、お気軽にお問い合わせください。
| サービス概要 |
検出された脆弱性について、報告書のご提出だけではなく、対面またはWeb会議にてご説明させていただくサービスです。 |
|---|---|
| 料金 | 10万円/回(オンラインの場合 5万円/回) |
| サービス概要 |
初回診断の報告書ご提出日から3カ月以内のお申し出に限り、検出された脆弱性に対して再診断を実施するサービスです。 |
|---|---|
| 料金 | 10万円/回 |
診断期間終了後、5営業日を目安に、緊急・高・中・低の検出された脆弱性をまとめた報告書を納品物としてご提出させていただきます。オプションサービスを利用することによって、お客様に直接ご説明させていただく「報告会」も実施しております。報告書サンプルは下記よりご確認ください。
診断対象の規模によってサイト検証時間が異なりますので、弊社からの見積もり提出日数が変動します。 一般的には、数営業日から数週間程度かかります。詳細はお問い合わせ時にてご案内いたします。
ユーザーがWebブラウザで画面操作を行い、Webアプリケーションサーバーへリクエストを送信し、結果をブラウザに表示させる一連の処理を1リクエストとしてカウントしています。