脆弱性診断士(Webアプリケーション)スキルマップ



Similar documents
Webアプリケーション脆弱性診断 ~WebSiteScan Pro~

スマートコネクト マネージドサーバ WAFオプション仕様書

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

( 運 用 制 限 ) 第 5 条 労 働 基 準 局 は 本 システムの 維 持 補 修 の 必 要 があるとき 天 災 地 変 その 他 の 事 由 によりシステムに 障 害 又 は 遅 延 の 生 じたとき その 他 理 由 の 如 何 を 問 わず その 裁 量 により システム 利 用 者

調達パートナー CSR調査票

Taro-契約条項(全部)

Microsoft Word - ★HP版平成27年度検査の結果

ができます 4. 対 象 取 引 の 範 囲 第 1 項 のポイント 付 与 の 具 体 的 な 条 件 対 象 取 引 自 体 の 条 件 は 各 加 盟 店 が 定 めます 5.ポイントサービスの 利 用 終 了 その 他 いかなる 理 由 によっても 付 与 されたポイントを 換 金 すること


の 購 入 費 又 は 賃 借 料 (2) 専 用 ポール 等 機 器 の 設 置 工 事 費 (3) ケーブル 設 置 工 事 費 (4) 防 犯 カメラの 設 置 を 示 す 看 板 等 の 設 置 費 (5) その 他 設 置 に 必 要 な 経 費 ( 補 助 金 の 額 ) 第 6 条 補

大学病院治験受託手順書

ていることから それに 先 行 する 形 で 下 請 業 者 についても 対 策 を 講 じることとしまし た 本 県 としましては それまでの 間 に 未 加 入 の 建 設 業 者 に 加 入 していただきますよう 28 年 4 月 から 実 施 することとしました 問 6 公 共 工 事 の

脆弱性診断士(Webアプリケーション)スキルマップ&シラバス

3. 選 任 固 定 資 産 評 価 員 は 固 定 資 産 の 評 価 に 関 する 知 識 及 び 経 験 を 有 する 者 のうちから 市 町 村 長 が 当 該 市 町 村 の 議 会 の 同 意 を 得 て 選 任 する 二 以 上 の 市 町 村 の 長 は 当 該 市 町 村 の 議

<4D F736F F F696E74202D E A B D682CC91E3955C93498D558C822E707074>

第2回_416.ppt

1.セッション3では 流 出 した 際 の 損 害 を 最 小 限 に 抑 える 対 応 仕 組 み 1

Imperva_page01_B52

学校ホームページ管理ツール導入委託提案要求仕様書

仕様書案

為 が 行 われるおそれがある 場 合 に 都 道 府 県 公 安 委 員 会 がその 指 定 暴 力 団 等 を 特 定 抗 争 指 定 暴 力 団 等 として 指 定 し その 所 属 する 指 定 暴 力 団 員 が 警 戒 区 域 内 において 暴 力 団 の 事 務 所 を 新 たに 設

注 意 すべきポイント 1 入 社 誓 約 書 は 社 員 の 入 社 にあたり 入 社 前 に 社 員 としての 自 覚 を 促 すとともに 正 当 な 理 由 のない 内 定 辞 退 を 防 止 するために 提 出 させるものです 2 2 以 降 の 注 意 すべきポイントについては マイ 法

に 対 して 消 磁 装 置 によるデータ 破 壊 を 行 い データの 復 旧 を 不 可 能 とするこ と 2 消 去 が 終 了 したことが 識 別 できるシール 等 を 媒 体 に 貼 付 すること(このシール は 本 委 託 契 約 の 範 囲 内 で 受 託 者 が 用 意 すること)

定款

別 紙 釧 路 公 立 大 学 ホームページリニューアル 業 務 CMS 要 件 一 覧 NO ( 大 分 類 ) NO ( 中 分 類 ) NO ( 小 分 類 ) 3 静 的 HTML 作 成 4 HTMLソース 直 接 編 集 5 CSSソース 直 接 編 集 6 画 像 掲 載 7 アクセシ

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>


iStorage ソフトウェア VMware vSphere Web Client Plug-in インストールガイド

Microsoft Word - 個人情報保護方針.docx

文化政策情報システムの運用等

私立大学等研究設備整備費等補助金(私立大学等

第 8 条 乙 は 甲 に 対 し 仕 様 書 に 定 める 期 日 までに 所 定 の 成 果 物 を 検 収 依 頼 書 と 共 に 納 入 する 2 甲 は 前 項 に 定 める 納 入 後 10 日 以 内 に 検 査 を 行 うものとする 3 検 査 不 合 格 となった 場 合 甲 は

る 第 三 者 機 関 情 報 保 護 関 係 認 証 プライバシーマーク ISO27001 ISMS TRUSTe 等 の 写 しを 同 封 のうえ 持 参 又 は 郵 送 とする 但 し 郵 送 による 場 合 は 書 留 郵 便 とし 同 日 同 時 刻 必 着 とする 提 出 場 所 は 上

Microsoft Word 役員選挙規程.doc

Ⅰ 元 請 負 人 を 社 会 保 険 等 加 入 建 設 業 者 に 限 定 平 成 28 年 10 月 1 日 以 降 に 入 札 公 告 指 名 通 知 随 意 契 約 のための 見 積 依 頼 を 行 う 工 事 から 以 下 に 定 める 届 出 の 義 務 ( 以 下 届 出 義 務 と

Taro13-01_表紙目次.jtd

根 本 確 根 本 確 民 主 率 運 民 主 率 運 確 施 保 障 確 施 保 障 自 治 本 旨 現 資 自 治 本 旨 現 資 挙 管 挙 管 代 表 監 査 教 育 代 表 監 査 教 育 警 視 総 監 道 府 県 警 察 本 部 市 町 村 警 視 総 監 道 府 県 警 察 本 部

<4D F736F F D20D8BDB8CFC8BCDED2DDC482A882E682D1BADDCCDFD7B2B1DDBD8B4B92F E646F63>

(表紙)

育休代替任期付職員制度について

1. 不 正 競 争 防 止 法 の 目 的 2

要 な 指 示 をさせることができる ( 検 査 ) 第 8 条 甲 は 乙 の 業 務 にかかる 契 約 履 行 状 況 について 作 業 完 了 後 10 日 以 内 に 検 査 を 行 うものとする ( 発 生 した 著 作 権 等 の 帰 属 ) 第 9 条 業 務 によって 甲 が 乙 に

Microsoft PowerPoint 資料6 技術基準.ppt [互換モード]

- 1 - 総 控 負 傷 疾 病 療 養 産 産 女 性 責 帰 べ 由 試 ~ 8 契 約 契 約 完 了 ほ 契 約 超 締 結 専 門 的 知 識 技 術 験 専 門 的 知 識 高 大 臣 専 門 的 知 識 高 専 門 的 知 識 締 結 契 約 満 歳 締 結 契 約 契 約 係 始

4 乙 は 天 災 地 変 戦 争 暴 動 内 乱 法 令 の 制 定 改 廃 輸 送 機 関 の 事 故 その 他 の 不 可 抗 力 により 第 1 項 及 び 第 2 項 に 定 める 業 務 期 日 までに 第 1 条 第 3 項 の 適 合 書 を 交 付 することができない 場 合 は

・モニター広告運営事業仕様書

(1) 社 会 保 険 等 未 加 入 建 設 業 者 の 確 認 方 法 等 受 注 者 から 提 出 される 施 工 体 制 台 帳 及 び 添 付 書 類 により 確 認 を 行 います (2) 違 反 した 受 注 者 へのペナルティー 違 反 した 受 注 者 に 対 しては 下 記 のペ

代 議 員 会 決 議 内 容 についてお 知 らせします さる3 月 4 日 当 基 金 の 代 議 員 会 を 開 催 し 次 の 議 案 が 審 議 され 可 決 承 認 されました 第 1 号 議 案 : 財 政 再 計 算 について ( 概 要 ) 確 定 給 付 企 業 年 金 法 第

Microsoft Word 実施要綱⑦H24.doc

独立行政法人国立病院機構

(別紙3)保険会社向けの総合的な監督指針の一部を改正する(案)

<4D F736F F F696E74202D B E E88E68C9A90DD8BC65F E DC58F4994C52E >

パソコン賃貸借契約

<4D F736F F D AC90D1955D92E CC82CC895E DD8C D2816A2E646F63>

(Microsoft Word - AADS\212\307\227\235\203T\201[\203o\201[\211^\227p\203}\203j\203\205\203A\203\213v1.3.docx)

スライド 1

text

企業におけるマイナンバーのセキュリティに関する実態調査

PowerPoint プレゼンテーション

管理者ガイド

栃木県アンテナショップ基本計画策定及び設計業務委託に係る標準?プロポーザル実施要領

ユーザーマニュアル

参加表明書・企画提案書様式

目     次

技術報告会原稿フォーマット

入 札 参 加 資 格 申 請 システム 操 作 マニュアル 入 札 参 加 資 格 の 資 格 有 効 ( 変 更 ) 日 を 迎 えると 追 加 届 の 登 録 ができるようになります ( 入 札 参 加 資 格 申 請 の 定 時 受 付 では いずれかの 申 請 先 団 体 から 入 札 参

Microsoft Word - 佐野市生活排水処理構想(案).doc

説 明 内 容 料 金 の 算 定 期 間 と 請 求 の 単 位 について 分 散 検 針 制 日 程 等 別 料 金 料 金 の 算 定 期 間 と 支 払 義 務 発 生 日 日 程 等 別 料 金 の 請 求 スケジュール 料 金 のお 支 払 い 方 法 その 他 各 種 料 金 支 払

Untitled

(Microsoft Word - \212\356\226{\225\373\220j _\217C\220\263\201j.doc)

Microsoft Word - 収納オンライン(個人情報の種類)

注 記 事 項 (1) 当 四 半 期 連 結 累 計 期 間 における 重 要 な 子 会 社 の 異 動 : 無 (2) 四 半 期 連 結 財 務 諸 表 の 作 成 に 特 有 の 会 計 処 理 の 適 用 : 有 ( 注 ) 詳 細 は 添 付 資 料 4ページ 2.サマリー 情 報 (

端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス /

確定給付企業年金 DBパッケージプランのご提案

第 2 章 サービス (サービスの 内 容 及 び 提 供 ) 第 6 条 本 サービスは ホームページの 制 作 改 変 等 の 代 行 を 行 うサービス 及 びサービス 提 供 に 必 要 な 機 能 を 第 7 種 ホスティングサービス 契 約 とともに 提 供 します 2 本 サービスに

平 成 27 年 11 月 ~ 平 成 28 年 4 月 に 公 開 の 対 象 となった 専 門 協 議 等 における 各 専 門 委 員 等 の 寄 附 金 契 約 金 等 の 受 取 状 況 審 査 ( 別 紙 ) 専 門 協 議 等 の 件 数 専 門 委 員 数 500 万 円 超 の 受

入 札 参 加 者 は 入 札 の 執 行 完 了 に 至 るまではいつでも 入 札 を 辞 退 することができ これを 理 由 として 以 降 の 指 名 等 において 不 利 益 な 取 扱 いを 受 けることはない 12 入 札 保 証 金 免 除 13 契 約 保 証 金 免 除 14 入

川崎市木造住宅耐震診断助成金交付要綱

ただし 当 該 事 故 が 本 特 典 の 適 用 対 象 となった 会 員 の 直 近 の 事 故 発 生 日 から 起 算 して 1 年 以 内 に 発 生 した 事 故 である 場 合 補 償 の 対 象 とはなりません 対 象 端 末 について 当 社 が 別 途 提 供 する ケータイ 補

第 5 条 ( 有 効 期 間 ) 1. 本 サービスの 有 効 期 間 は 当 社 が 指 定 した 日 をもって 開 始 とし 当 該 サービス 対 象 物 件 に 入 居 する 契 約 が 終 了 した 日 をもって 終 了 とします 2. 既 に 入 居 している 住 戸 が 新 たにサービ

<4D F736F F D208E52979C8CA78E598BC68F5790CF91A390698F9590AC8BE08CF D6A2E646F6378>

<4D F736F F D2090AD957B94468FD88AEE94D B292428C7689E68F912E646F63>

高松市緊急輸送道路沿道建築物耐震改修等事業補助金交付要綱(案)

<4D F736F F F696E74202D B B83678E9197BF2E B93C782DD8EE682E890EA97705D>

平成19年9月改定

Page 2 of 5 (2) 個 人 情 報 の 漏 えい 改 ざん 滅 失 棄 損 その 他 の 事 故 を 防 止 すること 2 実 施 機 関 は 不 必 要 となった 個 人 情 報 については 速 やかに 廃 棄 し 又 は 消 去 しなければな ( 個 人 情 報 の 管 理 等 の

続 に 基 づく 一 般 競 争 ( 指 名 競 争 ) 参 加 資 格 の 再 認 定 を 受 けていること ) c) 会 社 更 生 法 に 基 づき 更 生 手 続 開 始 の 申 立 てがなされている 者 又 は 民 事 再 生 法 に 基 づき 再 生 手 続 開 始 の 申 立 てがなさ

Taro-01 議案概要.jtd

Microsoft Word - H22.4.1市費産休・育休臨任要綱.doc

慶應義塾利益相反対処規程

(3) その 他 市 長 が 必 要 と 認 める 書 類 ( 補 助 金 の 交 付 決 定 ) 第 6 条 市 長 は 前 条 の 申 請 書 を 受 理 したときは 速 やかにその 内 容 を 審 査 し 補 助 金 を 交 付 すべきものと 認 めたときは 規 則 第 7 条 に 規 定 す

新ひだか町住宅新築リフォーム等緊急支援補助金交付要綱

一 般 社 団 法 人 全 国 銀 行 協 会 御 中 依 頼 人 氏 名 平 成 年 月 日 印 登 録 支 援 専 門 家 委 嘱 ( 初 回 委 嘱 )の 依 頼 について(GL5 項 (2)) 私 は 自 然 災 害 による 被 災 者 の 債 務 整 理 に 関 するガイドライン 第 5

< F2D D D837C815B B8EC08E7B97768D80>

接 支 払 制 度 を 活 用 するか 意 思 を 確 認 する 確 認 に 当 たっては 次 の 各 号 に 掲 げる 事 項 について 書 面 により 世 帯 主 の 合 意 を 得 て 代 理 契 約 を 締 結 するものとする (1) 医 療 機 関 等 が 本 市 に 対 し 世 帯 主

WebAlertクイックマニュアル

< F2D8ED089EF95DB8CAF939996A289C193FC91CE8DF42E6A7464>

通 知 カード と 個 人 番 号 カード の 違 い 2 通 知 カード ( 紙 )/H27.10 個 人 番 号 カード (ICカード)/H28.1 様 式 (おもて) (うら) 作 成 交 付 主 な 記 載 事 項 全 国 ( 外 国 人 含 む)に 郵 送 で 配 布 希 望 者 に 交

入札公告 機動装備センター

Transcription:

分 野 大 分 類 中 分 類 小 分 類 Silver Gold 備 考 基 礎 知 識 ( 技 術 ) 標 準 的 なプロトコルと 技 術 プロトコル IP TCP UDP DNS SSL/TLS Web Socket IPv6 名 前 解 決 トップレベルドメイン(TLD) ICANN DNS /etc/hosts レジストラ 文 字 コード メール SMTP セキュリティ 技 術 暗 号 共 通 鍵 暗 号 公 開 鍵 暗 号 暗 号 学 的 ハッシュ PKI 認 証 局 証 明 書 認 証 ネットワーク ファイアウォール IDS/IPS WAF 認 証 パスワード 認 証 2 要 素 認 証 シングルサインオン CAPTCHA ワンタイムトークン 情 報 セキュリティの 三 要 素 機 密 性 完 全 性 可 用 性 WWW URL/URI スキーム 名 ホスト 名 ポート 番 号 クエリストリング フラグメント HTTP リクエスト/レスポンス メソッド ステータスコード HTTPヘッダ Cookie セッション 管 理 Webプロキシ HTTPSのプロキシの 方 法 MITM Referer 1 ページ

基 礎 知 識 ( 脆 弱 性 ) その 他 Webアプリケーションの 脆 弱 性 プロキシ ブラウザ エンコード 言 語 データ 形 式 その 他 HTTPDの 製 品 名 DBの 製 品 名 アプリケーションサーバの 製 品 名 ライブラリの 製 品 名 インジェクション HTTP 認 証 BASIC 認 証 Digest 認 証 ネゴシエートなど リダイレクト HTTPS フォワードプロキシ リバースプロキシ キャッシュ オートコンプリート ブラウザごとの 挙 動 の 差 レンダリング ステータスバー アドレスバー Ajax/XHR XSSフィルタ Same Origin Policy Content Sniffing Content Security Policy Cross-Origin Resource Sharing URLエンコード Base64 HTML HTML5 JavaScript CSS SQL DOM XPATH LDAP OSコマンド プログラミング 言 語 主 にWebアプリケーションを 記 述 するために 用 いるもの XML JSON JSONP ロードバランサー NAT/NAPT robots.txt ミドルウェア フレームワーク CGI サーブレット SQLインジェクション CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') コマンドインジェクション OSコマンドインジェクション CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') LDAPインジェクション CWE-90: Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') 2 ページ

XPathインジェクション CWE-643: Improper Neutralization of Data within XPath Expressions ('XPath Injection') XMLインジェクション CWE-91: XML Injection (aka Blind XPath Injection) evalインジェクション CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') SSIインジェクション CWE-97: Improper Neutralization of Server-Side Includes (SSI) Within a Web Page ORMインジェクション CWE-943: Improper Neutralization of Special Elements in Data Query Logic NoSQLインジェクション CWE-943: Improper Neutralization of Special Elements in Data Query Logic CRLFインジェクション HTTPヘッダインジェクション メールヘッダインジェクション HTTPレスポンス 分 割 CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting') クロスサイトスクリプティング(XSS) https://www.owasp.org/index.php/types_of_cross-site_scripting DOM based XSS Server XSS Client XSS フォーマットストリングバグ フォーマットストリング 攻 撃 CWE-134: Uncontrolled Format String 相 対 パストラバーサル ディレクトリトラバーサル CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')?file=../../../etc/passwd CWE-23: Relative Path Traversal 絶 対 パストラバーサル?file=/etc/passwd CWE-36: Absolute Path Traversa オープンリダイレクト オープンリダイレクト オープンリダイレクター ファイルアップロードに 係 る サーバー 側 で 実 行 されるファイルのアップロード 脆 弱 性 クライアント 側 で 実 行 されるファイルのアップ ロード 許 可 されていないファイルのアップロード CWE-601: URL Redirection to Untrusted Site ('Open Redirect') インクルードにまつわる 脆 弱 リモートファイルインクルージョン(RFI) CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File 性 Inclusion') サービス 不 能 攻 撃 (DoS)につ バッファーオーバーフロー CWE-788: Access of Memory Location After End of Buffer ながりうる 問 題 レースコンディション クリックジャッキング 認 証 認 可 制 御 の 不 備 欠 落 セッション 管 理 の 不 備 CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') Clickjacking/Clickjack/UI Redress/UI Redressing 認 証 回 避 CWE-592: Authentication Bypass Issues ログアウト 機 能 の 不 備 や 未 実 装 過 度 な 認 証 試 行 に 対 する 対 策 不 備 欠 落 アカウントロック パスワードポリシーと 実 装 の 乖 離 CWE-307: Improper Restriction of Excessive Authentication Attempts 脆 弱 なパスワードポリシー CWE-521: Weak Password Requirements 復 元 可 能 なパスワード 保 存 CWE-257: Storing Passwords in a Recoverable Format パスワードリマインダの 不 備 推 測 可 能 なCAPTCHA CWE-804: Guessable CAPTCHA 権 限 の 不 正 な 昇 格 パラメータ 操 作 による 不 正 な 機 能 の 利 用 セッションフィクセイション セッションフィクセーション セッション 固 定 攻 撃 CWE-384: Session Fixation クロスサイトリクエストフォージェリ(CSRF) CWE-352: Cross-Site Request Forgery (CSRF) CookieのHttpOnly 属 性 未 設 定 3 ページ

Webアプリケーションの 動 作 環 境 への 診 断 項 目 基 礎 知 識 ( 診 断 業 務 ) 診 断 前 準 備 診 断 実 査 診 断 実 施 後 アフターサポート 情 報 漏 洩 ビジネスロジックの 問 題 推 測 可 能 なセッションID ( 長 さ 乱 数 の 強 度 ) CWE-334: Small Space of Random Values クエリストリング 情 報 の 漏 洩 URLパラメータ CWE-598: Information Exposure Through Query Strings in GET Request ブラウザキャッシュからの 情 報 漏 洩 CWE-525: Information Exposure Through Browser Caching パスワードフィールドのマスク 不 備 CWE-549: Missing Password Field Masking エラーメッセージによる 情 報 露 出 CWE-209: Information Exposure Through an Error Message 機 微 情 報 の 表 示 確 認 画 面 でクレジットカード 番 号 などのマスク HTTPS 利 用 時 のsecure 属 性 がない 機 微 Cookie CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute 機 微 情 報 のCookieへの 平 文 保 存 CWE-315: Cleartext Storage of Sensitive Information in a Cookie HTTPSの 不 適 切 な 利 用 不 要 な 情 報 の 存 在 サーバソフトウェアの 設 定 の ディレクトリリスティング 不 備 不 要 なファイルの 存 在 確 認 デフォルトエラー 画 面 バージョン 番 号 表 示 不 要 なHTTPメソッド バックアップファイルの 存 在 サンプルファイルの 存 在 管 理 者 ページの 存 在 デバッグオプションが 有 効 OS/フレームワーク/サーバソフトウェア/プログラミングライブラリの 既 知 の 脆 診 断 対 象 の 確 認 見 積 もり 方 法 顧 客 との 事 前 打 ち 合 わせ 実 査 準 備 ログ 取 得 自 動 診 断 ツールを 用 いた 診 断 プロキシツールを 用 いた 手 動 診 断 報 告 書 作 成 テストケースの 作 成 診 断 対 象 の 優 先 順 位 付 け 診 断 対 象 の 選 定 画 面 カウント 制 アクションカウント 制 リクエストカウント 制 その 他 の 見 積 もり 方 法 について 実 施 内 容 説 明 ヒアリング 環 境 データ 準 備 依 頼 テストアカウント( 権 限 画 面 遷 移 に 必 要 なアカウントが 複 数 必 要 ) 作 業 環 境 の 準 備 依 頼 診 断 環 境 による 差 違 禁 止 事 項 免 責 事 項 作 業 環 境 の 準 備 必 要 機 材 診 断 ツールの 準 備 クライアントの 準 備 セキュリティツールの 影 響 強 制 ログアウトロックアウト 処 理 物 理 デバイス 証 明 書 の 必 要 性 画 面 認 証 の 有 無 等 の 確 認 と 遷 移 先 の 確 認 特 定 のパラメータ 等 の 付 加 の 確 認 4 ページ

診 断 技 術 ( 自 動 診 断 ツール) HTMLやCookieなどのセキュリティ 設 定 不 備 ディレクトリやファイルの 発 見 フレームワーク/サーバソフトウェアの 既 知 の 脆 弱 性 など 手 動 診 断 が 必 要 な 理 由 セッション 管 理 の 不 備 認 可 制 御 の 不 備 欠 落 意 図 しない 仕 様 外 の 挙 動 権 限 越 え ビジネスロジック 上 の 問 題 CSRF など マクロ 化 = 診 断 手 順 の 自 動 化 複 数 ページに 渡 る 持 続 型 の 検 出 入 力 値 の 影 響 が 次 画 面 ではなく 他 の 画 面 にでるもの シナリオが 作 れないもの 手 順 が 決 めにくいもの 乱 数 使 ってたり 再 現 性 がない 一 度 しか 実 行 できない 処 理 脆 弱 性 の 発 動 に 複 数 のパラメーターを 利 用 するもの メール 受 信 CAPTCHA 二 要 素 認 証 などの 人 間 の 判 断 や 操 作 が 必 要 になるもの ツール 使 用 時 の 注 意 事 項 診 断 中 の 注 意 サーバに 掛 ける 負 荷 [ 関 係 ]スレッド 数 タイムアウトの 設 定 時 々 様 子 を 見 てあげないといけない ライセンス 確 認 ライセンスによって 機 能 が 異 なる 場 合 がある シグネチャのアップデート スレッド 数 の 設 定 設 定 が 適 切 か 必 ず 確 認 が 必 要 タイムアウトの 設 定 設 定 可 能 であることを 知 っていること 対 象 スコープの 設 定 診 断 対 象 となるドメインを 設 定 等 セッション 識 別 子 の 確 認 セッション 識 別 子 を 判 別 し 設 定 することができる CSRFトークン CSRFトークンを 判 別 し 設 定 することができる ログ 設 定 の 確 認 適 切 な 設 定 を 行 うことができる ログを 取 得 する 意 味 を 理 解 している ログが 正 しく 書 き 込 まれていることを 確 認 でき シナリオ(ジョブ マクロ ワークフロー)の 作 成 適 切 なシナリオ 作 成 を 行 うことができる ツールでは 診 断 の 実 施 が 困 難 な 画 面 の 確 認 を 行 うことができる 対 象 外 ページの 設 定 不 必 要 なパラメータ 等 の 削 除 必 要 なパラメータ 情 報 の 付 加 スキャン 対 象 URL 画 面 の 確 認 診 断 対 象 とすべき 画 面 が 全 て 含 まれているか 同 時 セッション ログオン 数 の 確 認 最 大 接 続 数 診 断 項 目 ポリシーの 作 成 選 択 スキャン 実 行 正 常 動 作 の 確 認 稼 動 ログの 適 切 な 確 認 診 断 技 術 ( 手 動 診 断 で 手 動 診 断 補 助 ツールの 機 能 使 うツール) 自 動 診 断 ツールの 特 徴 自 動 診 断 の 準 備 実 施 の 準 備 設 定 診 断 結 果 の 精 査 その 他 ツールの 機 能 報 告 会 診 断 実 施 後 のデータの 取 り 扱 い 再 診 断 検 出 が 得 意 な 脆 弱 性 検 出 が 難 しい 脆 弱 性 ツールによる 診 断 が 適 している 処 理 機 能 ツールによる 診 断 が 適 していないまたは 実 施 不 可 能 な 処 理 機 能 基 本 設 定 シナリオ 作 成 除 外 設 定 診 断 で 許 容 されていないURLが 含 まれていないか パラメータ 除 外 設 定 診 断 対 象 から 不 要 なパラメータを 除 外 する 設 定 を 行 うことができる ディレクトリ 除 外 設 定 診 断 対 象 から 不 要 なディレクトリを 除 外 する 設 定 を 行 うことができる 診 断 結 果 の 精 査 誤 検 知 の 確 認 診 断 対 象 画 面 の 実 施 成 否 の 確 認 補 助 機 能 スパイダー プロキシ リバースプロキシ リピーター ファザー/イントルーダー エンコーダ デコーダ diff/コンペア CSRF PoC Generator beautifier ログ ステートメント ワンタイムトークンの 設 定 HTTPS 復 号 レポート 機 能 5 ページ

タイムアウトの 設 定 設 定 可 能 であることを 知 っていること 対 象 スコープの 設 定 診 断 対 象 となるドメイン ディレクトリ パラメータを 設 定 等 認 証 機 能 の 設 定 アプリケーションに 認 証 (BASIC 認 証 等 )やクライアント 証 明 書 が 必 要 な 場 合 事 前 に 設 定 しリクエスト 時 に 自 動 付 与 する よう 設 定 することができる ブラウザのプロキシ 設 定 ブラウザでプロキシを 通 す 際 の 設 定 する 方 法 を 知 っていること 診 断 ツールのプロキシ 設 定 リクエスト/レスポンスのインターセプト 設 定 診 断 を 効 率 化 するツール netcat, stunnel, openssl レポーティング リス リスク 算 出 方 法 共 通 脆 弱 性 評 価 システム CVSS ク 算 出 法 律 手 動 診 断 の 準 備 報 告 書 の 種 類 報 告 書 に 記 載 する 内 容 法 律 や 犯 罪 ブラウザのプロキシ 切 り 替 え Webテストツール 基 本 設 定 インターセプトの 設 定 エグゼクティブ サマリー 通 常 の 報 告 書 導 入 部 診 断 実 施 概 要 総 合 評 価 個 別 の 脆 弱 性 不 正 アクセス 禁 止 法 威 力 業 務 妨 害 不 正 指 令 電 磁 的 記 録 に 関 する 罪 個 人 情 報 保 護 法 特 定 条 件 下 におけるインターセプト リクエスト/レスポンスに 特 定 の 条 件 化 ( 正 規 表 現 等 )でヒットした 場 合 にインターセプトする 設 定 を( 必 要 に 応 じて) 行 う 診 断 対 象 について 本 報 告 書 について 診 断 の 信 頼 性 について 運 営 上 存 在 する 業 務 上 のリスクについて 診 断 を 行 う 際 に 同 意 した 契 約 について 診 断 を 行 う 際 の 制 限 事 項 について 環 境 について 診 断 実 施 日 時 診 断 対 象 のURL IPアドレス 機 器 名 サービス 名 診 断 時 のネットワーク 環 境 診 断 実 施 者 診 断 ツール 診 断 結 果 の 総 合 評 価 診 断 結 果 に 対 する 診 断 員 のコメント 緊 急 性 の 高 い 脆 弱 性 についてのコメント 流 行 りの 攻 撃 についてのコメント 評 価 概 要 脆 弱 性 名 称 リスク 評 価 検 出 場 所 ペイロードのHTTPリクエストメッセージの 内 容 脆 弱 性 があると 判 断 した 理 由 画 面 キャプチャ 脆 弱 性 の 解 説 脆 弱 性 の 対 策 セキュリティの 問 題 を 一 意 に 識 別 する 識 別 子 (CWE CVEなど) ビジネスへの 影 響 や 脅 威 6 ページ

診 断 時 のルール 倫 理 セキュリティに 関 する 基 準 電 子 計 算 機 損 壊 等 業 務 妨 害 罪 その 他 損 害 賠 償 著 作 権 診 断 結 果 の 扱 い 方 守 秘 義 務 ゼロデイ 情 報 の 扱 い 方 脆 弱 性 の 届 け 出 IPAへの 届 け 出 制 度 IPAへの 届 け 出 フロー 調 整 機 関 (JPCERT/CC) ベンダーごとの 報 告 買 取 制 度 セキュリティに 関 する 基 準 ソフトウエア 等 脆 弱 性 関 連 情 報 取 り 扱 い 基 準 PCIDSS 各 種 ガイドライン ウェブ 健 康 診 断 OWASP TOP 10 著 作 権 とライセンス Copyright 2014 脆 弱 性 診 断 士 (Webアプリケーション)スキルマッププロジェクト2014 本 文 書 は クリエイティブ コモンズの 表 示 - 継 承 4.0 国 際 ライセンスの 下 に 提 供 されています 再 利 用 はまた 頒 布 の 際 には 本 作 品 の 使 用 許 諾 条 件 を 明 示 する 必 要 があります 7 ページ

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック