エヌシーアイ

Webアプリケーション脆弱性診断について ～WebSiteScan～

エヌシーアイ 株式会社の「Webアプリケーション脆弱性診断」とは？

エヌシーアイ株式会社 のWebアプリケーション診断とは、WEBサイト新設、もしくはリニューアル時のセキュリティ診断として、広くご利用頂いております。 SaaS型サービスの為、お客さまにソフトウェアやハードをご購入頂く必要はありません。また、オンデマンドでの提供となるため、お客さまのご利用タイミングに合わせられ、検査終了後即時診断レポートを発行します。 診断は、「PCI DSS」にて要求されている検査

項目を含んだ診断を実施し、お客様のWebサ イトに存在する、様々な脆弱性によるリスクの 洗い出しを実施します。 また、発見された脆弱性に対し、適切な対策 方法の策定レポートをご提出します。

ポイント！

特徴

１ 高性能なWebアプリケーション診断

PCI DSSにて要求されている脆弱性診断項目に加え、従来のローエンドモデルでは提供が難しいID/パスワード認証後の診断も可能！また、ネットワーク・サーバ負荷低減機能により、システムに与える心配を軽減。

特徴

２ 診断ページが無制限

トップURLよりクロール（巡回）可能なページ全てで診断可能。また、同一のFQDNの場合、クロールにて取り込めないページであっても手動にて取り込み可能！

特徴

３ 充実したレポーティング機能

診断結果画面からボタンをクリックするだけで、簡単に様々なレポートをダウンロード出来ます。(報告書、サマリー出力、カテゴリ選択レポート出力）

特徴

４ 診断結果再現機能

検出した脆弱性が発見された場合、どのような現象が発生するかブラウザで確認することが可能！また、修正後の再診断も可能！ ※一部再現不可の場合もあります。

提供内容

１ 設定管理画面の提供

SaaS型での提供により、Webからログイン後、診断・レポート結果まで、最短5分で完了！ また、お客さまが診断したいタイミングで 、Web管理画面からボタンひとつでスケジュール設定が可能です。

２ セキュリティ診断書の提出

診断内容として、以下の項目にてご報告致します。 ○総評 ○検査対象の画面 ○セキュリティ診断結果詳細 ○脆弱性対策のアドバイス

３ ご提供にあたって

システムへの影響を最小限に抑えるため、サーバ・ネットワーク負荷低減機能を搭載しておりますので、ご安心下さい。(数十kbps)

導入スケジュール

オプションサービス

以下の５つのオプションサービスをご用意しております。

1.オンサイト対応での報告会実施

2.手動型脆弱性診断 (疑似攻撃、画面をまたいで発生する脆弱性をセキュリティの専門技術者による診断実施)

3.ソースコード診断 (システムの堅牢性、コーディング品質のチェック等)

4.OS・ネットワーク診断（手動 or ツール) （CVE準拠、CVSSによる評価)

5.ペネトレーション診断 （疑似攻撃)

診断項目について

診断診断項目一覧表(1)

具体例

パスワードフィールドがマスクされているか

パスワードを平文で転送していないか

ログイン情報の送受信に関する調査 ログインID、パスワードが平文で送受信されていないか

secure属性をつけたCookieを利用しているか

有効期限の長いCookieを使用していないか

推測の容易な文字列をセッションIDに利用していないか

セッションIDをユーザ側で指定可能になっていないか

セッションIDを偽造された時に不正と判断しているか

セッションIDを別のブラウザから送信された場合不正と判断しているか

ログイン前とログイン後で異なるセッションIDを使用しているか

RefererによってセッションIDが漏洩していないか

URLによってセッションIDが漏洩していないか

セッションの有効期限、破棄は適切であるか

クロスサイトリクエストフォージェリ ユーザに特定の操作を強制することが出来ないか

Webアプリケーションの各パラメータにおいて、入力したスクリプトが実行可能か

UTF-7 XSS脆弱性がないか

SQLインジェクション Webアプリケーションの各パラメータにおいて、SQL文字列の入力が受け付けられないか

コマンドインジェクション Webアプリケーションの各パラメータにおいて、コマンド文字列が受け付けられないか

ヘッダーインジェクション Webアプリケーションの各パラメータにおいて、レスポンスヘッダーが改ざん可能になっていないか

リンクインジェクション Webアプリケーションの各パラメータにおいて、ページ内に任意リンクの埋め込みが可能か

ディレクトリトラバーサル Webアプリケーションの各パラメータにおいて、ディレクトリ指定文字列が受け付けられないか

特殊文字のエスケープ漏れ Webアプリケーションの各パラメータにおいて、入力した特殊文字（<>'"など）が表示されていないか

パラメータ推測 Webアプリケーションの各パラメータに、推測できるものがないか

Cookieの取り扱いに関する調査

セッションIDに関する調査

入出力処理

クロスサイトスクリプティング

調査項目

認証ログインフォームに関する調査

セッション管理

診断診断項目一覧表(2)

具体例

パスワードの画面への表示

パスワードの入力時のマスク

暗号 通信の暗号化 SSLでのみアクセスできるページがSSLでなくてもアクセスできるようになっていないか

開発用のデバッグフラグが無効化されているか

開発用のバックドアが無効化されているか

エラーが発生したときにプログラムのロジックやソースがそのまま表示されないか

エラー画面にバージョン情報が表示されないか

安易な暗号化を採用していないか

データベースのレコードを連想するような項目があるか

開発会社や開発者の名前が出ていないか

過去のプログラムコードがそのまま出力されていないか

既知のソフトウェア脆弱性 脆弱性を持ったWebアプリケーションソフトウェアがないか

推測が容易な名前のディレクトリ、ファイルがないか

システム管理ツールのWebインターフェイスがないか

ディレクトリリスティング ファイル一覧が閲覧可能なディレクトリがないか

システム情報の開示 レスポンスヘッダ、エラーメッセージなどからシステム情報が得られないか

サーバエラーメッセージ デフォルトのサーバエラーメッセージが表示されないか

バックアップファイルの検出 推測可能な名前のバックアップファイルが存在していないか

クレジットカード番号の検出 クレジットカード番号と思われる数値が平文で表示されていないか

リンク切れの検出 リンク切れが存在していないか

一般的な脆弱性 強制ブラウジング

Webサーバ設定

その他

ユーザ管理 パスワード

ロジック流出

バックドアとデバッグオプション

エラー処理

ロジック暴露

HTMLファイル内コメント

調査項目

診断は、「PCI DSS」にて要求されている検査項目を含んだ診断を実施し、お客様のWebサイトに存在する、

様々な脆弱性によるリスクの洗い出しを実施します。ご安心下さい！

お勧め機能のご紹介

管理画面

スケジュール管理画面 診断結果レポート画面

感覚的に非常にわかりやすいユーザーインターフェース

診断対象設定画面（ログインポート型）

診断対象となるURL一覧が表示されます

取得したログファイルの形式と ログファイルを指定します

ブラウザで操作したWebサイトへのアクセスログをWebSiteScanにインポートして、検査対象URL一覧を生成することが可能！ JavaScriptやFlashによるリンク先のURLも全て検査対象に含めることが可能です。

アクセスログの取得には、FireFoxのプラグインである Live HTTP Headers もしくはOdysseus が利用可能です。

※取得方法については、マニュアルをご提供いたします。

自動で取り込めないようなページも取り込み可能！

診断結果再現機能

検出した脆弱性が利用された場合、どのような現象が発生するかブラウザで確認すること可能！

脆弱性診断後の検出された脆弱性対策に有効にご活用頂けます。 ※一部再現出来ない脆弱性もございます。

診断リクエストの再送でブラウザで脆弱性の現象確認が可能！

操作は再現したい脆弱性の 検出結果画面から をクリックするだけです。

クロスサイトスクリプティングを再現した画面

充実したレポーティング機能

通常のセキュリティ診断レポートに加えて、以下の報告書の出力も可能となります。

サマリーレポートの作成

診断結果画面からボタンをクリックするだけで、簡単にカテゴリ一覧のみのサマリーレポートをダウンロードできます。 検出項目のみを報告する必要がある場合など、簡易的な報告が必要な際に有効にご利用頂けます。

操作は

をクリックするだけ！

カテゴリ選択レポート出力機能

必要なカテゴリのみのレポートを作成することが可能！報告に必要なカテゴリのみを選択することで、お客様のご希望に沿ったレポート作成が可能となります。

操作は除外したい カテゴリをチェックし をクリックするだけ！

導入実績

1. 金融業界 – サイト改変被害による対策

2. 官公庁 – サイト改変被害による対策

3. 人材派遣業 – 会員登録サイトの脆弱性検査

4. 流通業/ECサイト – カード決済機能を持つECサイトの検査

5. ホスティング事業者 – 専用サーバの顧客に対するオプションサービス提供

*弊社協力会社の導入事例を含む

導入実績