Webアプリケーション診断

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。

Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。
サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。

Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。

サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。

Webアプリケーション診断は、WebブラウザからWebサーバに送信されるリクエストに含まれる各種パラメータ(hiddenパラメータを含む)をツールや手動で改ざんし、そのレスポンスからWEBアプリケーションの脆弱性を判断します。
作業は、目視での異常検知と負荷調整、充分なインターバルをとり、システムへの影響を考慮して障害発生について最大限に配慮して行います。
また、Webアプリケーションのソースコード診断も可能です。
診断項目はIPA※が示す脆弱性を網羅し、「セッション管理の不備」「クロスサイトスクリプティング」などの26項目を実施します。

※IPA(独立行政法人情報処理推進機構)「安全なウェブサイトの作り方」
GSXのWebアプリケーション診断は20年の実績を持つ高度な診断サービスです。
診断を実施するエンジニアはセキュリティ資格保持者で、最新・最先端のハッキング技術を有しています。
  • 多様な診断対象への対応、豊富な診断メニュー

    多様な診断対象への対応、豊富な診断メニュー

    • お客様のご要望に応じて、コストメリットの高いプランをご提案します。
    • Webアプリケーションだけでなく、スマホネイティブアプリ、クラウドなどの脆弱性診断にも対応。PCクライアントアプリ等の特殊なアプリ、IPv6などへの診断も実施可能です。
    • インターネット経由、オンサイト診断、夜間や休日を利用した診断など、診断方法や場所(リモート/オンサイト)もご相談に応じます

  • 実践的なスキルを習得する学習環境を完備

    診断後の具体策を総合的にご提案

    • WebアプリケーションファイアウォールやIDS/IPSといった製品のご提案
    • 脆弱性診断の社内実施体制を構築する脆弱性診断ツールの販売・使用トレーニング
    • セキュリティ人材の育成・資格取得サービス
    • セキュア開発ガイドライン作成
    セキュリティ人材の教育サービスはこちら

独立行政法人情報処理推進機構(IPA)「情報セキュリティサービス基準適合サービスリスト」に登録

GSXの脆弱性診断サービスは、経済産業省の定める「情報セキュリティサービス基準」に適合するサービスとして、独立行政法人情報処理推進機構(IPA)の「情報セキュリティサービス基準適合サービスリスト」に登録されています。
※情報セキュリティサービス基準審査登録制度「情報セキュリティサービス台帳」はこちら
※IPA(独立行政法人情報処理推進機構)「情報セキュリティサービス基準適合サービスリスト」はこちら

01|お見積り・ご発注

診断対象などを選定の後、お見積書を作成します。診断期間や対象などを決定の上、お見積内容に基づき、ご発注いただきます。

02|事前調整・内容確認書作成

診断内容確認書を作成します。必要に応じて事前の導通確認など細部の確認を行います。スマホアプリ診断の場合、対象ファイルをお預かりします。

03|診断

ご指定の時間帯で診断作業を行います。基本は、平日日中(10時~18時)です。夜間、休日をご希望の場合は、ご契約前にお申し付けください。

04|速報

診断中に緊急度の高い脆弱性が発見された場合、速報としてご連絡します。※ご要望の場合のみ。ご契約時にご依頼ください。

05|結果分析/報告書作成

診断結果を報告書として取りまとめ、納品いたします。※診断終了後10営業日以内

06|報告会

専門エンジニアが内容を説明する報告会を開催します。

07|再診断

脆弱性が検出された箇所をお客様側で改修された後、同様の脆弱性が検出されないかを再度診断します。

Webアプリケーション診断

Webアプリケーション診断では、以下の診断項目を対象とします。
No. 診断項目 危険度 ツール 手動 IPA

1

セッション管理の不備

2

セッションフィクセーション

3

クロスサイトリクエストフォージェリ

4

クロスサイトスクリプティング

高〜中

5

クリックジャンキング

6

SQLインジェクション

7

OSコマンドインジェクション

8

ディレクトリトラバーサル

9

SSIインジェクション

10

XMLインジェクション

11

XPathインジェクション

12

XQueryインジェクション

13

LDAPインジェクション

14

MXインジェクション

15

HTTPレスポンスの分割

16

リモートファイルインクルード

17

通信の暗号化

18

証明書の不備

19

Referrerによる情報漏洩

20

ユーザID等の調査

21

詳細なエラーメッセージ

22

拡張子偽造

高〜低

23

コメント・デバッグ情報

高〜低

24

アプリケーション固有の問題

高〜低

25

フォーマットストリング

高〜低

26

バッファオーバーフロー

高〜中

スマートフォン向けWebアプリケーション診断

スマートフォンの実機を用い、無線LANルータ及び診断端末を経由し対象に対して診断を実施します。

主な診断項目(一部抜粋)
SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
セッション管理の不備(パラメータ改ざん等)
クロスサイトリクエストフォージェリ(CSRF)
他ユーザーへのなりすまし
セッションフィクセーション
通信の暗号化の不備
証明書の不備  など

診断の実施場所

基本はリモートでの実施となります。ご要望があればオンサイトでの実施にも対応します。

診断の実施可能日

基本は平日日中です。
診断結果は報告書を作成して納品いたします。「問題とその原因」「考えられる被害」「具体的施策」などの項目に沿って結果報告と改善策をご提案します。

報告書(例)

報告書(例)
お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。
■脆弱性診断とは?
脆弱性診断とは、情報システムのセキュリティ上の弱点(脆弱性)を洗い出し、その危険性を評価するプロセスです。
サイバー攻撃による情報漏洩やシステム停止などのリスクを未然に防ぐために行われます。
診断対象や手法によって、ネットワーク診断、Webアプリケーション診断など様々な種類があります。

■脆弱性診断とペネトレーションテストの違いは?
脆弱性診断は、情報システムのセキュリティ上の弱点(脆弱性)を洗い出し、その危険性を評価するプロセスです。
一方、ペネトレーションテストは、攻撃者の視点に立ち、実際の攻撃手法を用いてシステムへの侵入を試みるテストです。
脆弱性診断が「健康診断」なら、ペネトレーションテストは「模擬攻撃演習」といえるでしょう。

■脆弱性診断の手順は?
  • 1.対象範囲の決定:診断するシステムの範囲を明確にします。
  • 2.調査準備:具体的な診断対象の情報(IPアドレスやURL等)を収集します。
  • 3.実査:専用ツールや手動により、脆弱性を検出します。
  • 4.診断結果の分析・評価:検出した脆弱性の危険度や影響範囲を評価します。
  • 5.結果のまとめ:危険度や影響範囲から脆弱性を解消する優先度などをまとめ、対象システムの担当者に連携します。
  • 6.解消された脆弱性の再診断:必要に応じて、解消されたはずの脆弱性を再診断します。