ソフトウェアテスト(第三者検証)の
エキスパート ヴェス
メルマガ登録
導入実績
お問い合わせ
VESの強み
サービス
課題/分野から選ぶ
解決事例
コラム
資料ダウンロード
企業情報
Webセキュリティ検証サービス
自社Webアプリケーションは、安全ですか?
Webシステムを安全で快適なものにするため、
セキュリティの専門検証技術者が徹底サポートいたします。
ホーム
>
サービス
>
Webセキュリティ検証サービス
資料DL
関連する
ページ
問い合わせ
課題
サービス概要
特徴
詳細
課題
こんな課題抱えていませんか?
自社Webサービスを提供するために第三者による診断証明が必要/お客様から求められるWebサービスのセキュリティ対策の証明が欲しい
代表的なセキュリティ団体(OWASP・WASC・SANS)などが掲げる脆弱性項目をもれなくカバーする検証を行いたい。
自社のWebアプリケーションは、安全か確認したい
概要
Webアプリケーションの診断サービス
ヴェスが提供するWebアプリケーション診断は、お客様のWebサイトで動作するWebアプリケーションに実際の不正アクセスを模擬した攻撃を行い、脆弱性を検出する診断サービスです。
脆弱性診断については、診断ツールを使った自動診断と、脆弱性診断に精通したセキュリティ・エンジニア自身が担当する手動診断の両方を合わせたハイブリッド診断のスタイルで行います。
また診断結果については、Webアプリケーションに検出された脆弱性を修正するために必要な、脆弱性の原因、問題箇所、修正方法など、開発者向けの情報をまとめるだけでなく、経営者レベルの方にとって重要となる診断結果からのリスク分析についても分かりやすくまとめて報告書で提出いたします。
特徴
お客様のニーズで、選べる2つの診断コース
Webアプリケーション標準診断サービス
Webアプリケーション標準診断は、ヴェスのWebアプリケーション脆弱性診断の基盤となる診断サービスです。一般的なWebアプリケーションの脆弱性から、セッション管理の脆弱性を含むヴェスが実施可能なWebアプリケーション診断項目の全ての診断を行います。開発中/運用中のWebアプリケーションにおける脆弱性について徹底的に診断を行いたい場合や、PCI DSSやISMS関連で診断結果のエビデンスが必要となる場合に最適なサービスです。
Webアプリケーション特急診断コース
Webアプリケーション特急診断は、Webアプリケーション診断結果の報告スピードを重視したいお客様に最もメリットが発生する診断です。特定のWebページに対して、診断項目や診断レベルを落とすことなく、診断終了後の≒10日前後で「危険なポイント」を中心に詳細な報告書を提出いたします。特に、小規模な診断ページに対して診断を行う場合には、診断コストを効果的に抑えることができます。
お客様のニーズに合わせたカスタマイズ診断コース
お客様のニーズに合わせた診断コースをご提供します。
Webアプリケーションだけで無く、プラットフォームやシステム構成等を合わせた診断サービスも対応可能。
詳細
脆弱性診断横目
業界標準の脆弱性項目をもれなくカバーする診断項目
OWASP(OWASP Top Ten Project)
、
WASC(The WASC Threat Classification v2.0)
、
SANS(CWE/SANS TOP 25 Most Dangerous Programming Errors)
など、代表的なセキュリティ団体か掲げる脆弱性項目は、セキュリティ業界において標準的な位置付けにあり、Webアプリケーション診断で、これらの「脆弱性項目」を網羅しているかは、「診断品質」を量る為の一つの目安となります。
業界標準の脆弱性項目を漏れなくカバーする診断項目
団体名
脆弱性項目
VES対応
OWASP
OWASP Top Ten Project
(
https://owasp.org/index.php/japan
)
WASC
WASC Threat Classification v2.0
(
http://projects.webappsec.org/w/page/13246978/Threat-Classification
)
SANS
CWE/SANS TOP 25 Most Dangerous Programming Errors
(
http://cwe.mitre.org/top25/
)
診断項目一覧
Webアプリケーション診断では、以下の診断項目を診断しています。
診断項目
セッション管理に関する欠陥
Webアプリにおける一般的な欠陥
・アクセス制御の欠如
・ファイルに対するアクセス制御の欠如
・ユーザ識別の欠如
・ID 空間の小さすぎるセッション追跡パラメータの使用
・規則的なセッション追跡パラメータの使用
・推測可能なセッション追跡パラメータの使用
・URL パラメータによるセッション追跡
・外部サイトへのリンクでセッション追跡パラメータがRefererとして漏えいする
・cookieによるセッション追跡
・TRACEメソッドによるAuthorizationヘッダ漏えいの可能性
・暗号化されないアクセスに個人情報が含まれる
・暗号化されないアクセスにセッション追跡パラメータが含まれる
・暗号化されないページへのリンクでのセッション追跡パラメータReferer送出
・暗号化されないページへのリンクでのセッション追跡用cookie平文送出
・セキュアでないcookieの使用
・http上のログイン画面
・ルートフレームがhttpにあるサブフレーム上のログイン画面
・異なるセッションで同一セッション追跡パラメータの使用
・永続的cookieの使用
・ログアウト機能の欠如
・ログアウト後のサーバセッションの残存
・サーバセッションの長時間にわたる残存
・クレジットカード番号の表示
・パスワードの出力
・再認証などWebProde対象外の脆弱性
・パラメータの改ざん
・Hidden フィールドの不正操作
・クロスサイトスクリプティング(XSS)
・バッファオーバーフロー
・コマンド・インジェクション
・SQL インジェクション
・強制ブラウジング
・サードパーティ製品の設定ミス
・既知の脆弱性
・バックアップファイルの検出
・バックドアとデバッグオプション
・HTML 中のコメント
・ディレクトリトラバーサル
・不適切なエラーハンドリング
・クロスサイトリクエストフォージェリ(CSRF)
お問い合わせ・ご相談
Inquiry・Consultation
お問い合わせ
03-6457-7750
03-6457-7750
Copyright ©Ves All Rights Reserved.
VESの強み
第三者検証サービス
組込み検証サービス
Web検証サービス
スマートフォン検証サービス
業務アプリケーション検証サービス
特化型検証サービス
コンサルティングサービス
上流工程検証サービス
テスト自動化サービス
アジャイル開発検証サービス
ニアショア検証サービス
Webセキュリティ検証サービス
システム性能検証サービス
IoT検証サービス
ユーザビリティ検証サービス
テストエンジニア育成支援サービス
医療系ソフトウェア検証サービス
サイトインフォメーション
お問い合わせ
資料ダウンロード
アジャイル開発
テスト自動化報告書
テスト自動化の現状とこれから
検証ソリューションご紹介
メルマガ登録
個人情報保護方針
情報セキュリティ基本方針
会社情報
ご挨拶
会社概要・沿革
アクセス
採用情報
導入実績
解決事例
コラム