Webアプリケーション診断の概要

◆Webアプリケーション診断の概要

診断名 診断内容
テスト手法 納品物
クローリング サイト巡回 クローリング一覧
簡易診断 簡易ブラックボックステスト 簡易報告書
通常診断 ブラックボックステスト 報告書、再診断報告書
高精度診断 通常診断+ソースコード確認 報告書、再診断報告書

1 簡易診断

テスト手法:簡易ブラックボックステスト 納品物:簡易報告書 想定する診断対象:コーポレートサイトなど単純なお問い合わせのみのサイト。          ログインを伴わないサイト

2 通常診断

テスト手法:ブラックボックステスト 納品物:報告書、再診断報告書 想定する診断対象:一般的な会員サイト。ログインなどを伴うサイト。          管理者や一般ユーザなど権限ロールが存在するサイト

3 高精度診断

テスト手法:ブラックボックステスト+ソースコード&仕様書確認 納品物:報告書、再診断報告書 想定する診断対象:高機能なサイト。個人情報を扱うサイト(特にマイナンバーや          病歴などのセンシティブな情報)          ショッピングサイトなど金銭のやり取りを行うサイト。

Webアプリケーション診断項目表

◆Webアプリケーション診断項目表

脆弱性の名称 Webアプリ診断 NW診断
簡易診断 通常診断 高精度診断
Webアプリケーションの問題点
SQLインジェクション
クロスサイト・スクリプティング
CSRF(クロスサイト・リクエスト・フォージェリ)
OS コマンド・インジェクション
ディレクトリ・リスティング
メールヘッダ・インジェクション
ディレクトリ・トラバーサル
強制リダイレクト
HTTP ヘッダ・インジェクション
重要情報の不適切な取扱い
認証の不備・認証回避
認可制御の不備・権限昇格
セッション情報の取り扱いの不備
機能の悪用・意図しない機能の利用
セキュリティに関わる仕様上の問題点
好ましいセキュリティ設定のアドバイス
プラットフォームの問題点
攻撃者のヒントになる情報の露呈
システム設定の不備
サポートが終了した OS・送付とウェアの利用
危殆化した暗号化方式の利用
意図しないポートの利用
※報告される脆弱性は例となります。

Webアプリケーション診断の流れ

CULTURE

◆Webアプリケーション診断の流れ

1 お見積り

 診断プラン(※1)と診断対象数に応じたお見積を作成しお客様に送付します。 診断日程などにご希望がありましたらお申しつけください。  なお、緊急対応、夜間対応、オンサイト(出張)対応、報告会の実施については別料金となりますのでお見積り時にご相談ください。   1.1 サービスの説明     弊社営業がサービスのご説明に伺います   1.2 クローリング     診断対象に対してクローリング(診断対象ページ数の洗い出し)を行います。   1.3 診断対象数の確定     ヒアリングシート・クローリング結果シートにより診断対象数を決定します。 ※1 お申し込みプランによっては対応していない項目がございます。   DoS 攻撃など診断対象に高負荷をかける診断は実施しておりません。

2 診断

 診断プランに応じた脆弱性診断を行います。診断時には大量のリクエストが送信されますので、開発部門、運用部門への事前連絡が必要となります。     2.1 アクセス確認      お客様にいただいた情報を元にサイトへのアクセス確認を実施いたします。     通常は診断開始日の前日に実施させていただきます。   2.2 診断の実施      アクセス確認の完了後に診断を開始いたします。診断では、システムに影響を     極力抑えた形での非破壊検査を行います。なお、大量のリクエストが送信される     ためシステムへの負荷が上昇する場合があります。(※2)      診断は極力システムに影響のない形で行いますが、特に本番サイトへ診断する     場合には万が一のためバックアップを行っていただくことを推奨します。   2.3 問題点の報告(脆弱性の報告)      診断終了後 1 週間以内を目安に報告書をお送りいたします。     報告される脆弱性はプランにより異なりますが、問題点の深刻度に応じて分かり     やすくまとめられています。 ※2 診断ページ数と診断チームの作業状況により完了日は前後いたします。 ※3 当社での脆弱性への対策は診断とは別料金となります。(環境によっては当社での脆弱性の対策がお受けできない場合がございます。)

3 対策

 報告書に基づいて対策を実施してください。報告書のご送付から1か月であれば再診断 が無料となっております。(ただし簡易診断を除く)  対策完了後にご連絡をいただきましたら、お客様にて実施した対策の有効性について検 証を実施いたします。

4 再診断

 報告書のご送付から1か月であれば再診断が無料となっております。(簡易診断を除く)   4.1 再診断      再診断は全てのページへは実施されず。問題点(脆弱性)の報告がされた     ページ、パラメータに対して報告書に記載された操作を行う形で実施されます。     なお、修正が不十分である可能性が発見された際は、技術者により追加検証を     行う場合があります。   4.2 残存問題の報告      対策が有効であるか、不十分であるかを、再診断報告書にて報告いたします。

5 最終判断

 再診断報告書に記載された対策情報を参考にし、セキュリティ診断を終了するかご判断 ください。新しいページへの診断を行う必要性がある場合や、再診断で修正不十分の項目に たいする再診断を行う必要がある場合は、お問い合わせください。  年間診断プラン(長期診断プラン)についてもご提案が可能ですので、必要な場合はご相 談ください。
Cloud9株式会社

Address:
〒102-0072
東京都千代田区飯田橋2-8-3 リードシー飯田橋ビル 5F

Contacts

Email: info@cloudnove.co.jp
TEL:03-6261-7644
FAX:03-6261-7648