Webアプリケーションの設計・開発の不備による情報の漏洩や改ざん、サービス停止等の被害が想定される問題点がないかを調査いたします。
Webアプリケーションのインフラ環境(サーバーやルーター等)の設定の不備により、サーバーやネットワーク内への侵入の被害が想定される問題点がないかを調査いたします。
脆弱性 | 想定される被害 |
---|---|
SQLインジェクション | Webサイトの入力項目から不正なコードを入力される事で、データベースを操作されて機密情報や個人情報が流出する危険性があります。 |
OSコマンドインジェクション | Webアプリケーション経由でサーバーのOSコマンドを実行される事で、サーバー上の情報が流出したり、サーバーが操作されて業務に支障をきたす危険性があります。 |
パス名パラメータ名の未チェック/ディレクトリトラバーサル | 非公開もしくはアクセス権のないサーバー上のディレクトリにアクセスされる事で、重要なファイルを閲覧もしくは改ざんされたり、システムアカウントを盗まれる危険性があります。 |
セッション管理の不備 | 他のユーザーになりすましてWebアプリケーションにログインされる事で、クレジットの不正利用等の本人の意図しない処理をされる危険性があります。 |
クロスサイトスクリプティング | Webサイトに不正なスクリプトを埋め込まれる事で、個人情報を収集されてサービスを不正利用されたり、フィッシング詐欺サイトへ誘導される危険性があります。 |
クロスサイトリクエストフォージェリ | 正常ルートでない他サイト経由でWebサイトへリクエストを送信されてしまう事で、Webサイト上で本人の意図しない処理が勝手に行われる危険性があります。 |
HTTPヘッダインジェクション | HTTPヘッダを書き換えられる事で、本人になりすましてサービスを不正利用されたり、詐欺サイト等へ誘導される危険性があります。 |
メールヘッダインジェクション | メール送信機能において任意の宛先追加等、メールヘッダーを不正に追加される事で、メールの内容や情報が流出する危険性があります。 |
クリックジャッキング | 悪意のある透明な他のサイトからWebサイトを呼び出される事で、知らない内に利用者の意図しない動作をされる危険性があります。 |
アクセス制御や認可制御の欠陥 | Webサイトへのログイン認証を回避されてサイトに侵入されたり、なりすましにより本来権限のないユーザに機能を実行される危険性があります。 |
※1 ネットワーク、サーバ等、プラットフォーム管理元への脆弱性診断実施の事前許可等。
STEP1: | Webアプリケーションとサーバーやネットワーク等のインフラも含めて、攻撃者の観点から様々な種類のシステムの脆弱性項目を検査いたします。 (診断範囲、診断項目はお客様とご相談の上決定いたします。) |
---|---|
STEP2: | 診断の結果検出されたそれぞれの脆弱性に対し、危険度や緊急度、必要な対策等をご報告いたします。 |
STEP3: | 診断の結果検出された脆弱性に対して施された対策が、有効であるかの再評価をいたします。 |
診断対象 | ○○システム |
---|---|
診断期間 | YYYY年MM月DD日 ~ YYYY年MM月DD日 |
診断種別 | Webアプリケーション脆弱性診断 |
目的 | お客様のWebサイトの改修箇所に情報の漏洩や改ざん、サービス停止等の被害が想定される問題点がないかを確認。 |
診断方法 |
脆弱性診断ツールおよび手動での検査・診断。 診断は弊社内からインターネット経由で実施。 |
No. | 診断対象画面(機能) | URL |
---|---|---|
1 | ログイン | https://badsystem.com/ |
2 | ユーザ検索 | https://badsystem.com/searchuser |
3 | ユーザ登録 | https://badsystem.com/adduser |
4 | 入力内容確認 | https://badsystem.com/confirm |
5 | ファイルアップロード | https://badsystem.com/fileupload |
... | ... | ... |
No. | 診断対象 | 危険度 | 深刻度 | コメント |
---|---|---|---|---|
1 | ○○システム | 中 | レベル2 | 中危険度の脆弱性を1件発見いたしました。 上記1件の脆弱性に対して、施された対策が有効である事を確認いたしました。 |
※危険度と深刻度の定義は「補足2」を参照。
No. | 診断項目 | 合計 | 発見箇所 | コメント |
---|---|---|---|---|
1 | SQLインジェクション | 0 | ||
2 | クロスサイトスクリプティング | 1 | 新規ユーザ登録 入力内容確認 |
発見された脆弱性により、新規ユーザ登録の際に入力された個人情報が不正に取得される可能性があります。特殊文字のエスケープ処理によって対策が可能です。 |
3 | OSコマンドインジェクション | 0 | ||
4 | ディレクトリトラバーサル | 0 | ||
5 | セッション管理の不備 | 0 | ||
... | ... |
危険度 | 説明 |
---|---|
高 |
悪用が容易で、機密情報漏洩、データの破壊や改ざん、サービスの停止等、直接的な被害が想定される問題です。 緊急に対策が必要です。 |
中 |
他の脆弱性と組み合わせる事で攻撃が可能となる脆弱性です。 場合によっては機密情報へのアクセスや情報の改ざん等の深刻な被害を受ける可能性があります。 緊急の対策が必要です。 |
低 |
直接被害に結びつく脆弱性ではないものの、攻撃者に対して攻撃に有用な情報を与えてしまう可能性があります。 対策を施す必要があります。 |
なし | 脆弱な箇所は発見されませんでした。 |
深刻度 | 脆弱性に対して想定される脅威 |
---|---|
レベル3 |
全てのシステムが停止するようなサービス運用妨害、SQLインジェクション、OSコマンドインジェクション、任意の命令実行など。 |
レベル2 |
クロスサイトスクリプティング、ディレクトリトラバーサル、一部のシステムが停止する様なサービス運用妨害等 |
レベル1 |
|