Webアプリ脆弱性診断

Webアプリ脆弱性診断サービスで、脆弱性の検査から必要な対策のご提案までサポート

1. Webアプリ脆弱性診断の必要性と診断の種類、方法

(1) Webアプリケーション脆弱性診断の必要性

  • インターネットでサービスを提供している企業のWebサイトやサーバー、ネットワークの脆弱性を狙った攻撃や情報流出等のセキュリティ事故は後を絶ちません。
  • Webアプリケーションの設計・開発の不備による企業のWebサイトや サーバー・ネットワークの脆弱性を放置した場合、機密情報や個人情報の流出や 企業の継続にかかわる重大な問題へ発展する可能性があります。
  • Webアプリケーションの脆弱性診断と診断結果を基にした対策を実施する事で、 セキュリティ事故の発生を未然に防ぎ、影響を最小限に抑える事ができます。
Webアプリケーション脆弱性

Webアプリケーション脆弱性診断をおすすめするケース

  • 稼働中のWebサイト
    稼働中Webサイトのアプリケーションやインフラ環境が最新のセキュリティや脆弱性に対応したものとなっているかをチェックいたします。
  • Webサイトリリース、Webサイト改修時
    Webサイトリリース、Webサイト改修の際に、アプリケーションやインフラ環境に脆弱性がないかをチェックいたします。

(2) 弊社Webアプリケーション脆弱性診断の方法と流れ

STEP1: Webアプリケーションとサーバーやネットワーク等のインフラも含めて、攻撃者の観点から様々な種類のシステムの脆弱性項目を検査いたします。
(診断範囲、診断項目はお客様とご相談の上決定いたします。)
STEP2: 診断の結果検出されたそれぞれの脆弱性に対し、危険度や緊急度、必要な対策等をご報告いたします。
STEP3: 診断の結果検出された脆弱性に対して施された対策が、有効であるかの再評価をいたします。

① Webアプリケーション脆弱性診断の概要

Webアプリケーションの設計・開発の不備による情報の漏洩や改ざん、サービス停止等の被害が想定される問題点がないかを調査いたします。

  • 画面入力項目からのデータベースへの不正アクセスとコマンド実行可否の調査
    (SQLインジェクション)
  • 画面入力項目への悪意のあるスクリプト埋め込み可否の調査
    (クロスサイトスクリプティング等)
  • HTTPリクエストヘッダへの不正パラメータ設定可否の調査
    (HTTPヘッダインジェクション)
  • 等々

② ネットワーク脆弱性診断の概要

サーバーやルーターの設定の不備により、サーバーやネットワーク内への侵入の被害が想定される問題点がないかを調査いたします。

  • サーバーやルーターで不要もしくは脆弱なサービス/ポートの起動の有無の調査
  • 既知の脆弱性が存在するOSやサーバーアプリケーションの使用の調査
  • サーバーへの脆弱なパスワード設定の調査
  • 等々

※脆弱性診断の際は機密保持契約およびサイトやインフラ環境へのアクセス許可等の必要な契約を結んだ上で実施させて頂きます。

Webアプリケーション脆弱性診断の概要図

2. 弊社のWebアプリケーション脆弱性診断サービスの詳細

2.1 脆弱性診断の流れ

  1. 脆弱性診断の対象サイト(ページ)・対象インフラ、診断項目、診断方法、診断日程等のヒアリング・ご相談
  2. 脆弱性診断内容の決定、御見積の提出
  3. 脆弱性診断実施・診断結果のご報告
  4. 発見した脆弱性に対する対応箇所の再診断、最終診断結果レポートの提出

2.2 脆弱性診断結果のご報告内容について

  • 脆弱性診断の結果は以下の様な内容をレポート形式でご報告いたします。

(1) 脆弱性診断の内容

診断対象 ○○システム
診断期間 YYYY年MM月DD日
診断種別 Webアプリケーション脆弱性診断
診断方法 脆弱性診断ツールおよび手動での検査・診断

(2) 脆弱性診断対象の詳細

No. 診断対象画面(機能) URL
1 ログイン https://badsystem.com/
2 ユーザ検索 https://badsystem.com/searchuser
3 ユーザ登録 https://badsystem.com/adduser
4 入力内容確認 https://badsystem.com/confirm
5 ファイルアップロード https://badsystem.com/fileupload
... ... ...

(3) 脆弱性診断結果

No. 診断対象 危険度 深刻度 コメント
1 ○○システム レベル2 中危険度の脆弱性を1件発見いたしました。
上記1件の脆弱性に対して、施された対策が有効である事を確認いたしました。

※危険度と深刻度の定義は「補足2」を参照。


(4) 脆弱性診断結果の詳細

No. 診断項目 合計 発見箇所 コメント
1 SQLインジェクション 0
2 クロスサイトスクリプティング 1 新規ユーザ登録
入力内容確認
発見された脆弱性により、新規ユーザ登録の際に入力された個人情報が不正に取得される可能性があります。特殊文字のエスケープ処理によって対策が可能です。
3 OSコマンドインジェクション 0
4 ディレクトリトラバーサル 0
5 セッション管理の不備 0
... ...


2.3 脆弱性診断結果の補足事項

補足1:主要なWebアプリケーション脆弱性診断項目

診断項目 検出内容
SQLインジェクション リクエストパラメータに悪質なDBコマンドを実行させるステートメントへの対策有無
クロスサイト・スクリプティング 入力をそのまま画面に表示するなどのプログラムが、悪意のあるコードをブラウザに送ってしまう対策有無
クロスサイト・リクエスト・フォージェリ Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作を行わせる攻撃への対策有無
OSコマンドインジェクション パラメータにサーバー上の任意のOSコマンドを挿入し、実行処理への対策有無
ディレクトリトラバーサル 相対パス記法を利用して、管理者や利用者の想定しているのとは別のディレクトリのファイルを指定するソフトウェアの攻撃への対策有無
HTTPヘッダインジェクション ヘッダー情報にCRLFを含むパラメータに設定することで強制的にヘッダを終了扱いにし、BODY部に本来ヘッダー部に情報をBODY部に表示させる。 PHPではsetcookie()やheader()関数にユーザー入力又は、リクエストパラメータに設定するプログラムの脆弱性をつく攻撃への対策有無
セッション管理の不備 URLパラメータ、クッキー、リクエストパラメータの改ざんの対策有無

補足2:脆弱性診断結果の評価について

  • 弊社の診断結果の評価は財団法人地方自治情報センター(LASDEC)のウェブ健康診断仕様(平成22年度版)を参考に作成しています。
  • 診断結果の評価は、脆弱性の「危険度」と脆弱性を利用した攻撃の影響度・範囲を表す「深刻度」の組み合わせによって表されます。 (例:一部の機密情報が漏洩する様な脆弱性が検出されたため、評価は「危険度 高」かつ「深刻度 レベル2」)
危険度 説明
悪用が容易で、機密情報漏洩、データの破壊や改ざん、サービスの停止等、直接的な被害が想定される問題です。
緊急に対策が必要です。
他の脆弱性と組み合わせる事で攻撃が可能となる脆弱性です。
場合によっては機密情報へのアクセスや情報の改ざん等の深刻な被害を受ける可能性があります。
緊急の対策が必要です。
直接被害に結びつく脆弱性ではないものの、攻撃者に対して攻撃に有用な情報を与えてしまう可能性があります。
対策を施す必要があります。
なし 脆弱な箇所は発見されませんでした。

深刻度 脆弱性に対して想定される脅威
レベル3
  • リモートからシステムを完全に制御されるような脅威
  • 大部分の情報が漏洩するような脅威
  • 大部分の情報が改ざんされるような脅威

全てのシステムが停止するようなサービス運用妨害、SQLインジェクション、OSコマンドインジェクション、任意の命令実行など。

レベル2
  • 一部の情報が漏洩するような脅威
  • 一部の情報が改ざんされるような脅威
  • サービスの停止につながるような脅威

クロスサイトスクリプティング、ディレクトリトラバーサル、一部のシステムが停止する様なサービス運用妨害等

レベル1
  • 攻撃するために複雑な条件を必要とする脅威


  • 脆弱性診断の対象範囲や内容はお客様とご相談の上決定いたします。お気軽にお問い合わせください。