NSHC Inc. ASIA No.1 Security Company
ASIA No.1 Security Company
Webアプリケーション脆弱性診断
エンジニアによるPCIDSS、OWASP-Web-Testing Guide/OWASP Top 10に基づくWebアプリケーション/Web APIの脆弱性診断
脆弱性手動診断サービスはツール診断ではカバーできないセッション管理系の診断項目に加え、クレジットカード業界の情報セキュリティ基準であるPCI DSSの診断項目やセキュリティ診断のグローバル・スタンダードであるOWASPに基づいた診断項目に沿ってWebアプリケーションやWeb/API診断が可能です。またモダンWebと呼ばれているSPA(Single Page Application)やPWA(Progressive Web Apps)の診断にも対応しています。
セキュリティ診断のグローバル・スタンダードであるOWASPに基づいた診断項目
OWASPとは世界のセキュリティ専門家による診断の標準や規格を策定する組織のことです。Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。
クレジットカード業界の情報セキュリティ基準であるPCI DSSの診断項目
PCI DSS(Payment Card Industry Data Security Standard)
PCI DSSとはクレジットカード業界におけるグローバルセキュリティ基準のことです。加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
モダンWebの脆弱性診断
モダンWebとはパソコン、スマートフォン、タブレットなどマルチデバイスに対応しやすく、新たなUX(「ユーザエクスペリエンス」ユーザ体験)を創出するWebサイトです。
モダンWebの反対語にレガシーWebのMPA(Multiple or Multi Page Application)があります。MPAは一般的なホームページのように複数のページで構成されているWebサイトです。SEO(検索エンジン最適化)やアプリケーション内の構造の管理がしやすいことがメリットですが、ファイルの読み込み通信が頻繁に発生し表示に時間がかかることや、中大規模サイトになると構造が複雑になり管理が大変になることや、モバイル向けサイトのUI設計が難しくなることがデメリットになります。モダンWebはMPAのデメリットを解決すするために考えられた技術で、特に注目されているものはSPA(Single Page Application)やPWA(Progressive Web Apps)と呼ばれるものです。
SPA(Single-Page Application)
SPAは単一のHTMLで構成されているWebサイトでファイル読み込みが初回アクセス時に全て済むため読み込み時間が短く高速な処理ができるため複雑なアニメーションが表現できるなどリッチなコンテンツを提供することが出来ます。またSPA+APIで実装できるためモバイルアプリと同じバックエンドを利用できることやモバイル向けのサイトとあわせてUI設計がしやすいこともメリットで、スマートフォンとも相性がよい技術です。MPAと比較してSPAに多い脆弱性を狙った攻撃はクロスサイトスクリプティング(XSS)と呼ばれるもので、脆弱性のあるサイトにスクリプトが埋め込まれるところから攻撃が始まり、掲示板サイトやTwitterのような、ユーザからの入力内容をWebページに表示するWebアプリケーション(「インタラクティブ(相互作用、双方向)」サイト)において、Webサイトの脆弱性を利用した攻撃手法を指します。インタラクティブなSPAは攻撃を受けやすい為、安全性が劣ることもありWebアプリケーション脆弱性手動診断サービスを実施することが必要とされます。
PWA(Progressive Web Apps)
PWAとはウェブとアプリの良いところを取ったもので、ネイティブアプリのような操作性や表現力を持っているWebアプリケーションのことです。ストアダウンロードが不要で提供できることやキャッシュを使う技術のため低用量のアプリでスマートフォンのストレージを圧迫しないで利用できる点も優れています。TwitterやInstagram、GooglePhotoなどが有名なサービスです。当社ではPWAにも対応できるWebアプリケーション脆弱性手動診断サービスを提供しています。
Web API(Application Programming Interface)
APIとはソフトウェアからOSの機能を利用するための仕様またはインターフェースの総称で、アプリケーションの開発を容易にするためのソフトウェア資源のことです。Webで利用する場合、公開されているWeb APIは「Facebook」「Twitter」「YouTube」「Googleマップ」などが有名でアプリ開発などでよく利用されるものです。SPAやPWAのアプリ開発を実施する場合はWeb APIの利用は欠かせ無いものになっており、合わせて脆弱性診断を実施することでモダンWeb全体のセキュリティ対策を実現できます。
診断項目
※下記項目は、基本診断項目です。SPAやオプション項目については別途お問い合わせください。
分類 | 診断項目 |
不必要な情報の露出 | 不必要なファイル/ページの露出 |
不適切なログイン失敗メッセージ | |
コメント処理した重要情報の漏出 | |
エラーメッセージの露出 | |
サーバのバージョン情報の露出 | |
重要な情報の露出 | 重要な情報の送信における暗号化通信の使用 |
重要な情報の平文での露出 | |
ソースコードの露出 | |
ファイルダウンロードの脆弱性 | |
ディレクトリリスティングの脆弱性 | |
脆弱な認証及び権限昇格/ 権限盗用 | 推測可能なアカウント/パスワード |
Brute-Force攻撃の脆弱性 | |
クッキー認証の脆弱性 | |
セッション管理の脆弱性 | |
認証迂回の脆弱性 | |
クロスサイトスクリプティングの脆弱性 | |
クロスサイトリクエストフォージェリ(CSRF)の脆弱性 | |
管理ページ及びアクセス制御の脆弱性 | |
データへのアクセス・操作 | SQL Injectionの脆弱性 |
LDAP Injectionの脆弱性 | |
XPath Injectionの脆弱性 | |
リモートによるコマンド実行 | Command Injectionの脆弱性 |
Local File Inclusionの脆弱性 | |
Remote File Inclusionの脆弱性 | |
Formula Injectionの脆弱性 | |
XXE Injectionの脆弱性 | |
ファイルアップロードの脆弱性 | |
その他 | 検証されてないRedirect/Forwardの脆弱性 |
不必要なHTTPメソッド許可の脆弱性 | |
セッション タイムアウト設定の脆弱性 | |
不十分なSSL/TLS保護の脆弱性 | |
Webサーバ上のアプリケーションを列挙 |