|
|
||
|
|
|
|
|
|
||
 |
|
|
|
| サービスを検討する企業の傾向とその目的 |
| Webサイトを持っているあらゆる企業が対象になるWeb脆弱性診断サービスですが、最近ではWebサイトをビジネス基盤の中心においているECサイトやSNSサイト、ゲーム系サイトなど、頻繁にサービスを立ち上げたり改修・追加開発したりする企業様からの依頼が増加傾向にあります。 | |
| また、提供しているシステムがセキュアであることを証明するために、開発段階から脆弱性診断をご利用いただいているSIer様やシステム開発会社様も増えつつあります。 | |
| サービスを利用する主な目的は、脆弱性を発見してセキュリティリスクを可能な限り軽減することでが主ですが第三者から診断を受けたというエビデンス(証拠)を残し、顧客に安全性をアピールする狙いを持っている企業様もあれば開発ライフサイクルに診断サービスを組み込み、セキュアプログラミングの環境を自社内で作り上げることを目指す企業様などサービスをご利用頂いている目的は様々です。 | |
| 開発における早期段階で診断を行ったほうが手戻りも少なく、結果として開発コストを抑えられるといったことも効果としてあげることが出来ると考えております。 |
| ネットワーク診断サービス内容 |
| サービス不能 | DoS攻撃、DDoS攻撃などサービスを不正に停止させる可能性を検査します。 この攻撃によりサービス・サーバ停止の被害に遭う可能性があります。 |
| 情報収集 | リモートからサーバのシステム情報・構成情報の取得の可能性を検査します。 クラッカーが攻撃をおこなうために必要な情報を公開している可能性があります。 |
| 攻撃 | 不正なパケットを送信してサービスを動作不能にさせる可能性を検査します。 この攻撃によりサービス・サーバ停止の被害に遭う可能性があります。 |
| フルログ | リモートからサーバの設定ファイル・ログファイルの取得の可能性を検査します。 クラッカーが攻撃をおこなうために必要な情報を公開している可能性があります。 |
| Rootの取得 | リモートからサーバの管理権限を不正に取得する可能性を検査します。 この攻撃により不正侵入、改竄行為などの被害に遭う可能性があります。 |
| クラッシュ | システムファイルの不正書き換えなどの可能性を検査します。 この攻撃によりサービス・サーバ停止の被害に遭う可能性があります。 |
| 100%CPU | 不正なパケットを送信して不正にサーバの負荷を上昇させる可能性を検査します。 この攻撃によりサービス・サーバ停止の被害に遭う可能性があります。 |
| アプリケーション診断サービス内容 |
| 認証 | 脆弱なパスワードの存在 不適切な認証 パスワードリマインダの不備 HTTPSの不備 ブルートフォース攻撃 |
| 承認 | セッションの推測 不適切な承認 セッション終了処理の不備 セッションの固定 |
| クライアントを対象とした攻撃に関する項目 | クロスサイトスクリプティング コンテンツの詐称 クロスサイトリクエストフォージェリ(CSRF) HTTPヘッダインジェクション |
| コマンド実行に関する項目 | バッファオーバーフロー 書式文字列攻撃 OSコマンドインジェクション SQLインジェクション SSIインジェクション LDAPインジェクション |
| 情報取得に関する項目 | ディレクトリ内容表示 ディレクトリトラバーサル 強制ブラウジング HTMLソース内容 |
| アプリケーション機能の悪用に関する項目 | 機能の悪用 サービス拒否 自動アクセス防止の不備 |
| その他 | HTTPSレスポンススプリッティング 暗号化方法の判別 |
| [お問い合わせ先] |
| 『セキュリティ診断の件』 とお問い合わせください。担当営業がご対応致します。 |
|
|
||
|
|
 |
|
|
|
||
|
