Webアプリケーション診断
Webアプリケーション診断の実施手法について
Webアプリケーション診断の手法には、「ツール診断」「手動診断」の2種類があります。
ツール診断
検査対象を診断ツールで診断し、診断員が過検知、
誤検知を精査。短時間で網羅的な診断が可能です。
手動診断
診断ツールによる診断に加え、診断員が手動で診断します。
ツール診断に比べて、より高度な診断が可能です。
| 主な使用ツール |
|---|
| ortSwigger製 Burp Suite (経済産業省推奨脆弱性スキャナー) |
※ VEXでの診断も承っています。詳細はお問い合わせください。
Webアプリケーション診断項目・基準
IPAの「ウェブ健康診断仕様」が定めている診断内容をベースとして診断を実施します。
| No | 診断項目 | 診断基準 | ツール診断 | 手動診断 |
|---|---|---|---|---|
| 1 | クロスサイトスクリプティング脆弱性有無のチェック | IPA基準 | 対応 | 対応 |
| 2 | SQLインジェクション脆弱性有無のチェック | IPA基準 | 対応 | 対応 |
| 3 | OSコマンドインジェクション脆弱性有無のチェック | IPA基準 | 対応 | 対応 |
| 4 | クロスサイトリクエストフォージェリ脆弱性有無のチェック | IPA基準 | 一部対応 | 対応 |
| 5 | ディレクトリリスティング脆弱性有無のチェック | IPA基準 | 対応 | 対応 |
| 6 | パストラバーサル脆弱性有無のチェック | IPA基準 | 対応 | 対応 |
| 7 | HTTPヘッダインジェクション脆弱性有無のチェック | IPA基準 | 対応 | 対応 |
| 8 | メールヘッダインジェクション脆弱性有無のチェック | IPA基準 | 非対応 | 対応 |
| 9 | アクセス制限機能のチェック | IPA基準 | 非対応 | 対応 |
| 10 | セッション管理機能のチェック | IPA基準 | 一部対応 | 対応 |
| 11 | リダイレクト機能のチェック | IPA基準 | 対応 | 対応 |
| 12 | パスワード設定制限のチェック(認識機能) | IPA基準 | 非対応 | 対応 |
| 13 | ブルートフォースアタック対策有無のチェック(認識機能) | IPA基準 | 非対応 | 対応 |
| 14 | ログアウト機能のチェック(認識機能) | IPA基準 | 非対応 | 対応 |
| 15 | その他認証機能のチェック | IPA基準 | 非対応 | 対応 |
| 16 | その他インジェクション脆弱性有無のチェック | 独自 | 一部対応 | 対応 |
| 17 | 使用可能メソッドのチェック | 独自 | 対応 | 対応 |
| 18 | ファイルアップロード機能のチェック | 独自 | 非対応 | 対応 |
| 19 | フィンガープリントのチェック | 独自 | 対応 | 対応 |
| 20 | Oauth/OIDC機能のチェック(オプション) | 独自 | 非対応 | 対応 |
※ クローラ耐性の確認をご希望の方はご相談ください。
※ 独自仕様・項目などでご希望の場合は、別途ご相談ください。
サービスの概要がわかる資料3点セットを無料でご提供しています。
ご不明な点は、お気軽にお問い合わせください。
- サービスご紹介資料
- システム脆弱性診断 報告書(サンプル)
- システム脆弱性診断サービス カタログ
※ 記載されている会社名、製品名は各社の商標または登録商標です。なお、本文中では™、®マークは基本的に明記していません。