Webアプリケーション診断

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。

Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。
サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。

Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。

サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。

Webアプリケーション診断は、WebブラウザからWebサーバに送信されるリクエストに含まれる各種パラメータ(hiddenパラメータを含む)をツールや手動で改ざんし、そのレスポンスからWEBアプリケーションの脆弱性を判断します。
作業は、目視での異常検知と負荷調整、充分なインターバルをとり、システムへの影響を考慮して障害発生について最大限に配慮して行います。
また、Webアプリケーションのソースコード診断も可能です。
診断項目はIPA※が示す脆弱性を網羅し、「セッション管理の不備」「クロスサイトスクリプティング」などの26項目を実施します。

※IPA(独立行政法人情報処理推進機構)「安全なウェブサイトの作り方」
GSXのWebアプリケーション診断は20年の実績を持つ高度な診断サービスです。
診断を実施するエンジニアはセキュリティ資格保持者で、最新・最先端のハッキング技術を有しています。
  • 多様な診断対象への対応、豊富な診断メニュー

    多様な診断対象への対応、豊富な診断メニュー

    • お客様のご要望に応じて、コストメリットの高いプランをご提案します。
    • Webアプリケーションだけでなく、スマホネイティブアプリ、クラウドなどの脆弱性診断にも対応。PCクライアントアプリ等の特殊なアプリ、IPv6などへの診断も実施可能です。
    • インターネット経由、オンサイト診断、夜間や休日を利用した診断など、診断方法や場所(リモート/オンサイト)もご相談に応じます

  • 実践的なスキルを習得する学習環境を完備

    診断後の具体策を総合的にご提案

    • WebアプリケーションファイアウォールやIDS/IPSといった製品のご提案
    • 脆弱性診断の社内実施体制を構築する脆弱性診断ツールの販売・使用トレーニング
    • セキュリティ人材の育成・資格取得サービス
    • セキュア開発ガイドライン作成
    セキュリティ人材の教育サービスはこちら

独立行政法人情報処理推進機構(IPA)「情報セキュリティサービス基準適合サービスリスト」に登録

GSXの脆弱性診断サービスは、経済産業省の定める「情報セキュリティサービス基準」に適合するサービスとして、独立行政法人情報処理推進機構(IPA)の「情報セキュリティサービス基準適合サービスリスト」に登録されています。
※情報セキュリティサービス基準審査登録制度「情報セキュリティサービス台帳」はこちら
※IPA(独立行政法人情報処理推進機構)「情報セキュリティサービス基準適合サービスリスト」はこちら

01|お見積り・ご発注

診断対象などを選定の後、お見積書を作成します。診断期間や対象などを決定の上、お見積内容に基づき、ご発注いただきます。

02|事前調整・内容確認書作成

診断内容確認書を作成します。必要に応じて事前の導通確認など細部の確認を行います。スマホアプリ診断の場合、対象ファイルをお預かりします。

03|診断

ご指定の時間帯で診断作業を行います。基本は、平日日中(10時~18時)です。夜間、休日をご希望の場合は、ご契約前にお申し付けください。

04|速報

診断中に緊急度の高い脆弱性が発見された場合、速報としてご連絡します。※ご要望の場合のみ。ご契約時にご依頼ください。

05|結果分析/報告書作成

診断結果を報告書として取りまとめ、納品いたします。※診断終了後10営業日以内

06|報告会

専門エンジニアが内容を説明する報告会を開催します。

07|再診断

脆弱性が検出された箇所をお客様側で改修された後、同様の脆弱性が検出されないかを再度診断します。

Webアプリケーション診断

Webアプリケーション診断では、以下の診断項目を対象とします。
No. 診断項目 危険度 ツール 手動 IPA

1

セッション管理の不備

2

セッションフィクセーション

3

クロスサイトリクエストフォージェリ

4

クロスサイトスクリプティング

高〜中

5

クリックジャンキング

6

SQLインジェクション

7

OSコマンドインジェクション

8

ディレクトリトラバーサル

9

SSIインジェクション

10

XMLインジェクション

11

XPathインジェクション

12

XQueryインジェクション

13

LDAPインジェクション

14

MXインジェクション

15

HTTPレスポンスの分割

16

リモートファイルインクルード

17

通信の暗号化

18

証明書の不備

19

Pefererによる情報漏洩

20

ユーザID等の調査

21

詳細なエラーメッセージ

22

拡張子偽造

高〜低

23

コメント・デバッグ情報

高〜低

24

アプリケーション固有の問題

高〜低

25

フォーマットストリング

高〜低

26

バッファオーバーフロー

高〜中

スマートフォン向けWebアプリケーション診断

スマートフォンの実機を用い、無線LANルータ及び診断端末を経由し対象に対して診断を実施します。

主な診断項目(一部抜粋)
SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
セッション管理の不備(パラメータ改ざん等)
クロスサイトリクエストフォージェリ(CSRF)
他ユーザーへのなりすまし
セッションフィクセーション
通信の暗号化の不備
証明書の不備  など

診断の実施場所

基本はリモートでの実施となります。ご要望があればオンサイトでの実施にも対応します。

診断の実施可能日

基本は平日日中です。
診断結果は報告書を作成して納品いたします。「問題とその原因」「考えられる被害」「具体的施策」などの項目に沿って結果報告と改善策をご提案します。

報告書(例)

報告書(例)
お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。