ハイブリッドWeb
アプリケーション脆弱性診断

ハイブリッドWebアプリケーション脆弱性診断とは?

自動診断ツールに加え、診断員による手動診断を実施いたします。
自動診断ツールだけでは発見が困難な脆弱性を中心に調査を行うことによって、
クイックWebアプリケーション診断よりもきめ細やかで確実性の高い脆弱性診断をご提供します。

こんな人におすすめ

  • ・Webアプリケーション脆弱性診断を一度も受診したことがない。
  • ・Webサイトの安全性を徹底的に調査したい。
  • ・現状のリスクを把握し、セキュリティ専門技術者の意見を聞きたい。
  • ・クレジットカードや口座番号などの機密情報を取り扱うサイトを運営しているが、不正利用や情報漏えいが起きないか不安だ。
  • ・Webサイトに新しい画面または機能を追加した。
  • ・第三者によるセキュリティ評価を求められている。

ハイブリッドWebアプリケーション脆弱性診断を受けて分かること

Webアプリケーション脆弱性診断では、主に下記の項目について診断を行っています。
また、IFTのWebアプリケーション診断はOWASP TOP10、OWASP ASVS4.0およびPCI-DSS 4.0に準拠しております。

入力・出力に関する脆弱性 クイック ハイブリッド
クロスサイトスクリプティング
パラメータを送信しているリクエストについて、各パラメータにタグ、JavaScript挿入し、レスポンスでそのまま表示されないか確認する
SQLインジェクション
パラメータを送信しているリクエストについて、各パラメータにSQL文として特殊な働きをする文字を入力して、レスポンスを確認する。
OSコマンドインジェクション
パラメータを送信しているリクエストについて、各パラメータにset、cd、dirなど操作コマンドを入力し、レスポンスの変化を確認する 
ディレクトリトラバーサル
パラメータを送信しているリクエストについて、各パラメータに/../../../../etc/hostsなどディレクトリを遡るような文字を入力し、レスポンスの変化を確認する 
HTTPヘッダインジェクション
パラメータを送信しているリクエストで、パラメータ入力値がレスポンスヘッダに表示されるものについて、%0D%0Aの改行文字を入力し、改行が有効でないか確認する 
フィッシング詐欺サイトへの誘導
パラメータを送信しているリクエストの各パラメータについて、google、yahooなど他WebサイトのURLを入力し、そのURLにレスポンスで遷移しないか確認する
パラメータ改ざん
送信パラメータ内に価格や会員ポイント、ポイントの増減値が含まれている場合に、値をマイナスなどに変更してみて、実行結果を確認する
メールの第三者中継
パラメータを送信しているリクエストの各パラメータについて、改行文字+Mailヘッダを入力し、送信されてくるメールや画面のレスポンスを確認する
認証に関する脆弱性 クイック ハイブリッド
ログインフォームに関する調査
パスワードフィールドのマスクが有効か無効か確認する
ログインエラーメッセージの調査
ログインエラーメッセージからユーザIDやパスワードが推測できないか確認する。例:正しいIDと間違ったパスワードでログインした際のエラーメッセージと、ID,パスワードともに間違っている場合のエラーメッセージを比べてみる
ログイン・個人情報の
送受信に関する調査
ログイン情報、個人情報送受信時の通信を確認する
アカウントロック機能
アカウントの発行が容易、複数ある場合は実際にパスワードを複数回間違えて、ロックアウトされるかどうか確認する
ログアウト機能
ログイン後にログアウトを明示的に実行する手段があるかどうか確認する
認証の回避
ログイン後のページについては、そのページを表示するためのリクエストを未ログインのブラウザから送信し、ページが表示されないか確認する
認可に関する脆弱性 クイック ハイブリッド
権限昇格
管理者アカウント、一般アカウントが存在する場合に、管理者権限での操作を一般アカウントでも実行可能でないか確認する。管理者での操作実行リクエストを一般アカウントでログイン中のブラウザから送信し、実行可能でないか確認する
権限のない情報へのアクセス
送信パラメータ中にユーザIDやグループID、他にもアクセス先データを示すユニークな値が含まれている際に、その値を権限の無いデータのものに変更するなどして、権限の無いデータを閲覧、変更できないか確認する
セッション管理 クイック ハイブリッド
CookieのSecure属性の確認
SSLを使用するWebサイトの場合、セッションや重要な情報を持つCookieにsecure属性が付与されているか確認する
Cookieの有効期限の確認
セッションIDや重要な情報を持つCookieが長期間保持される状態になっていないか確認する
セッションIDのランダム性確認
Cookieやパラメータに含まれるセッションIDについて、発行される値に一定の条件が無いか確認する
セッション固定
ログイン操作時に新たにセッションIDが発行されているか確認する。また、発行されていた場合でも、旧IDにてログイン状態にならないか確認する
セッションの強制指定
セッション固定の問題が存在している場合に、PHPSESSID、jsessionidといったセッションID送信用のパラメータに、任意のセッションIDを指定したリンク、リクエストを作成し、そのリンクやリクエストを他ユーザに送信させることで任意のセッションIDをそのユーザに使用させることができないか確認する
クロスサイトリクエストフォージェリ
(CSRF/XSRF)
ログイン情報変更、パスワード変更、退会、決済処理といった重要な操作について、特定のリクエストを送信させることで実行できてしまわないか確認する
Webサーバに関する脆弱性 クイック ハイブリッド
サーバエラーメッセージ
Webアプリケーション側が想定していないような文字を入力した際に、ソースコードの一部やシステム情報などの情報を含んだエラーメッセージが表示されないか確認する
Web2.0に関する脆弱性 クイック ハイブリッド
Flashコンテンツの脆弱性
crossdomain.xmlが存在していないか確認し、存在している場合は中身を見て、不特定多数のドメインに対してアクセスが許可されていないか確認する
Ajaxコンテンツの脆弱性
パラメータを送信しているAjaxからのリクエストについて、各パラメータにタグ、JavaScript挿入し、レスポンスでそのまま表示されないか確認する
FLOW

Webアプリケーション脆弱性診断
サービスの流れ

FLOW

  • 01
    お問い合わせ

    お問い合わせフォームより、必要事項を記入の上お問い合わせ下さい。

  • 02
    ヒアリング・お見積り

    弊社担当より折り返しメールにてご連絡させて頂きます。
    その後、Webサイトの構成等についてお伺いした後、弊社よりお見積りをご提出いたします。

  • 03
    ご発注・日程確定

    お見積り内容を承諾いただけましたらご発注ください。
    ご発注後に診断日程を正式に確定いたします。

  • 04
    脆弱性診断

    脆弱性診断を実施いたします。
    ※速報送付サービスをお申し込み頂いた場合は、状況に応じて診断期間中に速報を送付いたします。

  • 05
    結果のご報告

    脆弱性診断が完了後、通常5営業日以内に報告書をご提出いたします。

  • 06
    アフターサポート
    (オプション)

    オプションサービスにお申し込み頂いている場合、再診断や報告会を実施いたします

SAMPLE

報告書サンプル

SAMPLE

わかりやすい報告書をご提出いたします。
また、下記のオプションサービスを利用することによって
お客様に直接ご説明させて頂く機会も設けております。

ご参考価格

PRICE

IFTの料金形態はお客様ごとの個別お見積もりとなります。
Webサイトの構成によって料金に変動がございますので、まずは下記フォームよりお問い合わせください。

基本料金
200,000円(税込)
※上記は10リクエスト分を含む料金となっております。以降、1リクエストごとに加算されるボリュームディスカウント体系となります。
例1 医療系サイト
110リクエスト 1,700,000円(税込)
例2 ECサイト
50リクエスト 800,000円(税込)

オプションサービス

OPTION

上記のプランに加えてオプションサービスもご用意しています。
複数オプションサービスの組み合わせも可能ですので、ご予算・ご要望に合わせたプランを組み立てることができます。

速報送付サービス
早急に改修が必要であると見込まれた脆弱性に対して診断期間中に速報という形でご報告を行うサービスになります。
報告会サービス
検出された脆弱性について、報告書のご提出だけではなく、直接のお伺いまたはWeb会議にてご説明させて頂くサービスです。
再診断サービス
初回診断の報告書ご提出日から3か月以内のお申出に限り、検出された脆弱性に対して再診断を実施させて頂くサービスです。
再診断報告書も合わせて作成し、ご提出させて頂きます。
※基本料金内に既に1回分の再診断費用が含まれております。
2回目以降の再診断を希望される場合に本オプションサービスをご利用頂く形になります。

いずれもお見積り時にご案内・ご提案させて頂きますので、お気軽にお問い合わせ下さい。