エヌシーアイ Webアプリケーション 脆 弱 性 診 断 について ~WebSiteScan~
エヌシーアイ 株 式 会 社 の Webアプリケーション 脆 弱 性 診 断 とは? エヌシーアイ 株 式 会 社 のWebアプリケーション 診 断 とは WEBサイト 新 設 もしくはリニューア ル 時 のセキュリティ 診 断 として 広 くご 利 用 頂 いております SaaS 型 サービスの 為 お 客 さまにソフトウェアやハードをご 購 入 頂 く 必 要 はありません また オンデマンド での 提 供 となるため お 客 さまのご 利 用 タイミングに 合 わせられ 検 査 終 了 後 即 時 診 断 レポートを 発 行 し ます 診 断 は PCI DSS にて 要 求 されている 検 査 項 目 を 含 んだ 診 断 を 実 施 し お 客 様 のWebサ イトに 存 在 する 様 々な 脆 弱 性 によるリスクの 洗 い 出 しを 実 施 します また 発 見 された 脆 弱 性 に 対 し 適 切 な 対 策 方 法 の 策 定 レポートをご 提 出 します
ポイント! 特 徴 1 高 性 能 なWebアプリケーション 診 断 PCI DSSにて 要 求 されている 脆 弱 性 診 断 項 目 に 加 え 従 来 のローエンドモデルでは 提 供 が 難 しい ID/パスワード 認 証 後 の 診 断 も 可 能!また ネットワーク サーバ 負 荷 低 減 機 能 により システム に 与 える 心 配 を 軽 減 特 徴 2 診 断 ページが 無 制 限 トップURLよりクロール( 巡 回 ) 可 能 なページ 全 てで 診 断 可 能 また 同 一 のFQDNの 場 合 ク ロールにて 取 り 込 めないページであっても 手 動 にて 取 り 込 み 可 能! 特 徴 3 充 実 したレポーティング 機 能 診 断 結 果 画 面 からボタンをクリックするだけで 簡 単 に 様 々なレポートをダウンロード 出 来 ます ( 報 告 書 サマリー 出 力 カテゴリ 選 択 レポート 出 力 ) 特 徴 4 診 断 結 果 再 現 機 能 検 出 した 脆 弱 性 が 発 見 された 場 合 どのような 現 象 が 発 生 するかブラウザで 確 認 することが 可 能! また 修 正 後 の 再 診 断 も 可 能! 一 部 再 現 不 可 の 場 合 もあります
提 供 内 容 1 設 定 管 理 画 面 の 提 供 SaaS 型 での 提 供 により Webからログイン 後 診 断 レポート 結 果 まで 最 短 5 分 で 完 了! また お 客 さまが 診 断 したいタイミングで Web 管 理 画 面 からボタンひとつでスケジュール 設 定 が 可 能 です 2 セキュリティ 診 断 書 の 提 出 診 断 内 容 として 以 下 の 項 目 にてご 報 告 致 します 総 評 検 査 対 象 の 画 面 セキュリティ 診 断 結 果 詳 細 脆 弱 性 対 策 のアドバイス 3 ご 提 供 にあたって システムへの 影 響 を 最 小 限 に 抑 えるため サーバ ネットワーク 負 荷 低 減 機 能 を 搭 載 しておりますので ご 安 心 下 さい ( 数 十 kbps)
導 入 スケジュール
オプションサービス 以 下 の5つのオプションサービスをご 用 意 しております 1.オンサイト 対 応 での 報 告 会 実 施 2. 手 動 型 脆 弱 性 診 断 ( 疑 似 攻 撃 画 面 をまたいで 発 生 する 脆 弱 性 をセキュリティの 専 門 技 術 者 による 診 断 実 施 ) 3.ソースコード 診 断 (システムの 堅 牢 性 コーディング 品 質 のチェック 等 ) 4.OS ネットワーク 診 断 ( 手 動 or ツール) (CVE 準 拠 CVSSによる 評 価 ) 5.ペネトレーション 診 断 ( 疑 似 攻 撃 )
診 断 項 目 について
診 断 診 断 項 目 一 覧 表 (1) 認 証 セッション 管 理 入 出 力 処 理 調 査 項 目 ログインフォームに 関 する 調 査 ログイン 情 報 の 送 受 信 に 関 する 調 査 Cookieの 取 り 扱 いに 関 する 調 査 セッションIDに 関 する 調 査 クロスサイトリクエストフォージェリ クロスサイトスクリプティング SQLインジェクション コマンドインジェクション ヘッダーインジェクション リンクインジェクション ディレクトリトラバーサル 特 殊 文 字 のエスケープ 漏 れ パラメータ 推 測 具 体 例 パスワードフィールドがマスクされているか パスワードを 平 文 で 転 送 していないか ログインID パスワードが 平 文 で 送 受 信 されていないか secure 属 性 をつけたCookieを 利 用 しているか 有 効 期 限 の 長 いCookieを 使 用 していないか 推 測 の 容 易 な 文 字 列 をセッションIDに 利 用 していないか セッションIDをユーザ 側 で 指 定 可 能 になっていないか セッションIDを 偽 造 された 時 に 不 正 と 判 断 しているか セッションIDを 別 のブラウザから 送 信 された 場 合 不 正 と 判 断 しているか ログイン 前 とログイン 後 で 異 なるセッションIDを 使 用 しているか RefererによってセッションIDが 漏 洩 していないか URLによってセッションIDが 漏 洩 していないか セッションの 有 効 期 限 破 棄 は 適 切 であるか ユーザに 特 定 の 操 作 を 強 制 することが 出 来 ないか Webアプリケーションの 各 パラメータにおいて 入 力 したスクリプトが 実 行 可 能 か UTF-7 XSS 脆 弱 性 がないか Webアプリケーションの 各 パラメータにおいて SQL 文 字 列 の 入 力 が 受 け 付 けられないか Webアプリケーションの 各 パラメータにおいて コマンド 文 字 列 が 受 け 付 けられないか Webアプリケーションの 各 パラメータにおいて レスポンスヘッダーが 改 ざん 可 能 になっていないか Webアプリケーションの 各 パラメータにおいて ページ 内 に 任 意 リンクの 埋 め 込 みが 可 能 か Webアプリケーションの 各 パラメータにおいて ディレクトリ 指 定 文 字 列 が 受 け 付 けられないか Webアプリケーションの 各 パラメータにおいて 入 力 した 特 殊 文 字 (<>'"など)が 表 示 されていないか Webアプリケーションの 各 パラメータに 推 測 できるものがないか
診 断 診 断 項 目 一 覧 表 (2) 調 査 項 目 具 体 例 ユーザ 管 理 パスワード パスワードの 画 面 への 表 示 パスワードの 入 力 時 のマスク 暗 号 通 信 の 暗 号 化 SSLでのみアクセスできるページがSSLでなくてもアクセスできるようになっていないか バックドアとデバッグオプション 開 発 用 のデバッグフラグが 無 効 化 されているか 開 発 用 のバックドアが 無 効 化 されているか ロジック 流 出 エラー 処 理 エラーが 発 生 したときにプログラムのロジックやソースがそのまま 表 示 されないか エラー 画 面 にバージョン 情 報 が 表 示 されないか ロジック 暴 露 安 易 な 暗 号 化 を 採 用 していないか データベースのレコードを 連 想 するような 項 目 があるか HTMLファイル 内 コメント 開 発 会 社 や 開 発 者 の 名 前 が 出 ていないか 過 去 のプログラムコードがそのまま 出 力 されていないか 既 知 のソフトウェア 脆 弱 性 脆 弱 性 を 持 ったWebアプリケーションソフトウェアがないか 一 般 的 な 脆 弱 性 強 制 ブラウジング 推 測 が 容 易 な 名 前 のディレクトリ ファイルがないか システム 管 理 ツールのWebインターフェイスがないか ディレクトリリスティング ファイル 一 覧 が 閲 覧 可 能 なディレクトリがないか Webサーバ 設 定 システム 情 報 の 開 示 レスポンスヘッダ エラーメッセージなどからシステム 情 報 が 得 られないか サーバエラーメッセージ デフォルトのサーバエラーメッセージが 表 示 されないか バックアップファイルの 検 出 推 測 可 能 な 名 前 のバックアップファイルが 存 在 していないか その 他 クレジットカード 番 号 の 検 出 クレジットカード 番 号 と 思 われる 数 値 が 平 文 で 表 示 されていないか リンク 切 れの 検 出 リンク 切 れが 存 在 していないか 診 断 は PCI DSS にて 要 求 されている 検 査 項 目 を 含 んだ 診 断 を 実 施 し お 客 様 のWebサイトに 存 在 する 様 々な 脆 弱 性 によるリスクの 洗 い 出 しを 実 施 します ご 安 心 下 さい!
お 勧 め 機 能 のご 紹 介
管 理 画 面 感 覚 的 に 非 常 にわかりやすいユーザーインターフェース スケジュール 管 理 画 面 診 断 結 果 レポート 画 面
診 断 対 象 設 定 画 面 (ログインポート 型 ) 自 動 で 取 り 込 めないようなページも 取 り 込 み 可 能! ブラウザで 操 作 したWebサイトへのアクセスログをWebSiteScanにインポートして 検 査 対 象 URL 一 覧 を 生 成 することが 可 能! JavaScriptやFlashによるリンク 先 のURLも 全 て 検 査 対 象 に 含 めることが 可 能 です アクセスログの 取 得 には FireFoxのプラグインである Live HTTP Headers 取 得 したログファイルの もしくはOdysseus 形 が 式 利 と 用 可 能 です 取 得 方 法 については マニュアルをご ログファイルを 指 定 します 提 供 いたします 診 断 対 象 となるURL 一 覧 が 表 示 されます
診 断 結 果 再 現 機 能 診 断 リクエストの 再 送 でブラウザで 脆 弱 性 の 現 象 確 認 が 可 能! 検 出 した 脆 弱 性 が 利 用 された 場 合 どのような 現 象 が 発 生 するかブラウザで 確 認 すること 可 能! 脆 弱 性 診 断 後 の 検 出 された 脆 弱 性 対 策 に 有 効 にご 活 用 頂 けます 一 部 再 現 出 来 ない 脆 弱 性 もございます クロスサイトスクリプティングを 再 現 した 画 面 操 作 は 再 現 したい 脆 弱 性 の 検 出 結 果 画 面 から をクリックするだけです
充 実 したレポーティング 機 能 通 常 のセキュリティ 診 断 レポートに 加 えて 以 下 の 報 告 書 の 出 力 も 可 能 となります サマリーレポートの 作 成 診 断 結 果 画 面 からボタンをクリックするだ けで 簡 単 にカテゴリ 一 覧 のみのサマリー レポートをダウンロードできます 検 出 項 目 のみを 報 告 する 必 要 がある 場 合 な ど 簡 易 的 な 報 告 が 必 要 な 際 に 有 効 にご 利 用 頂 けます 操 作 は をクリックするだけ! カテゴリ 選 択 レポート 出 力 機 能 必 要 なカテゴリのみのレポートを 作 成 することが 可 能! 報 告 に 必 要 なカ テゴリのみを 選 択 することで お 客 様 のご 希 望 に 沿 ったレポート 作 成 が 可 能 となります 操 作 は 除 外 したい カテゴリをチェックし をクリックするだけ!
導 入 実 績
導 入 実 績 1. 金 融 業 界 サイト 改 変 被 害 による 対 策 2. 官 公 庁 サイト 改 変 被 害 による 対 策 3. 人 材 派 遣 業 会 員 登 録 サイトの 脆 弱 性 検 査 4. 流 通 業 /ECサイト カード 決 済 機 能 を 持 つECサイトの 検 査 5. ホスティング 事 業 者 専 用 サーバの 顧 客 に 対 するオプションサービス 提 供 * 弊 社 協 力 会 社 の 導 入 事 例 を 含 む