診断事業
Webアプリケーションのセキュリティテストを様々な深度・方法で行っております。
ネットワーク診断も承っております。
OWASP Top10、IPAのチェックリスト等を網羅し、
脆弱性の存否確認をエンジニアが行います。
診断するカテゴリの例
クロスサイトスクリプティング、SQLインジェクション、強制ブラウジング
パラメータの改竄、バックドアとデバッグオプション、ステルスコマンド
バッファオーバーフロー、クロスサイトリクエストフォージェリー
疑わしい情報の存否、アプリケーションプライバシー、セッションハイジャック
製品の設定ミス、XMLとSOAP使用環境での問題の存否、Cookieポイズニング 等
擬似攻撃診断で発見した脆弱性をソースコード上で確認すると同時に
ソースコードでのみ発見できる欠陥の有無を抽出確認します。
存否確認する欠陥カテゴリの例
入力データの検証、ソースコードデザイン、情報リークと不適切なエラー処理
オブジェクト直接参照、リソースの安全性の低い利用方法、APIの安全性の低い利用方法
その他問題の有る処理、脆弱なセッション管理、HTTP GETクエリー文字列 等
下記3点を原則として、運用中のウェブサイトに簡易診断します。
サービスを止めない
個人情報にアクセスしない
アプリケーションの改変を行わない
診断するカテゴリ
SQLインジェクション、クロスサイトスクリプティング、パストラバーサル
クロスサイト・リクエスト・フォージェリー、ディレクトリリスティング
OSコマンドインジェクションHTTPヘッダインジェクション
認証の強度、セッション管理の不備、アクセス制御の不備・欠落
意図しないリダイレクト、等
