ホーム > サービス > Webセキュリティ検証サービス
  • Webセキュリティ検証サービス 自社Webアプリケーションは、安全ですか?
    Webシステムを安全で快適なものにするため、
    セキュリティの専門検証技術者が徹底サポートいたします。

  • Solution

    Webアプリケーションの診断サービス

    ヴェスが提供するWebアプリケーション診断は、お客様のWebサイトで動作するWebアプリケーションに実際の不正アクセスを模擬した攻撃を行い、脆弱性を検出する診断サービスです。
    脆弱性診断については、診断ツールを使った自動診断と、脆弱性診断に精通したセキュリティ・エンジニア自身が担当する手動診断の両方を合わせたハイブリッド診断のスタイルで行います。
    また診断結果については、Webアプリケーションに検出された脆弱性を修正するために必要な、脆弱性の原因、問題箇所、修正方法など、開発者向けの情報をまとめるだけでなく、経営者レベルの方にとって重要となる診断結果からのリスク分析についても分かりやすくまとめて報告書で提出いたします。

こんな課題抱えていませんか?

  • 自社Webサービスを提供するために第三者による診断証明が必要/お客様から求められるWebサービスのセキュリティ対策の証明が欲しい
  • 代表的なセキュリティ団体(OWASP・WASC・SANS)などが掲げる脆弱性項目をもれなくカバーする検証を行いたい。
  • 自社のWebアプリケーションは、安全か確認したい
  • Merit 01 Webアプリケーション標準診断サービス

    Webアプリケーション標準診断は、ヴェスのWebアプリケーション脆弱性診断の基盤となる診断サービスです。一般的なWebアプリケーションの脆弱性から、セッション管理の脆弱性を含むヴェスが実施可能なWebアプリケーション診断項目の全ての診断を行います。開発中/運用中のWebアプリケーションにおける脆弱性について徹底的に診断を行いたい場合や、PCI DSSやISMS関連で診断結果のエビデンスが必要となる場合に最適なサービスです。
  • Merit 02 Webアプリケーション特急診断コース

    Webアプリケーション特急診断は、Webアプリケーション診断結果の報告スピードを重視したいお客様に最もメリットが発生する診断です。特定のWebページに対して、診断項目や診断レベルを落とすことなく、診断終了後の≒10日前後で「危険なポイント」を中心に詳細な報告書を提出いたします。特に、小規模な診断ページに対して診断を行う場合には、診断コストを効果的に抑えることができます。
  • Merit 03 お客様のニーズに合わせたカスタマイズ診断コース

    お客様のニーズに合わせた診断コースをご提供します。
    Webアプリケーションだけで無く、プラットフォームやシステム構成等を合わせた診断サービスも対応可能。
Detail

脆弱性診断項目

  • 01 業界標準の脆弱性項目をもれなくカバーする診断項目

    OWASP(OWASP Top Ten Project)WASC(The WASC Threat Classification v2.0)SANS(CWE/SANS TOP 25 Most Dangerous Programming Errors)など、代表的なセキュリティ団体か掲げる脆弱性項目は、セキュリティ業界において標準的な位置付けにあり、Webアプリケーション診断で、これらの「脆弱性項目」を網羅しているかは、「診断品質」を量る為の一つの目安となります。
    業界標準の脆弱性項目を漏れなくカバーする診断項目
    団体名 脆弱性項目 VES対応
    OWASP OWASP Top Ten Project
    (https://owasp.org/index.php/japan)
    WASC WASC Threat Classification v2.0
    (http://projects.webappsec.org/w/page/13246978/Threat-Classification)
    SANS CWE/SANS TOP 25 Most Dangerous Programming Errors
    (http://cwe.mitre.org/top25/)
  • 02 診断項目一覧

    Webアプリケーション診断では、以下の診断項目を診断しています。
    診断項目 セッション管理に関する欠陥 Webアプリにおける一般的な欠陥
    ・アクセス制御の欠如
    ・ファイルに対するアクセス制御の欠如
    ・ユーザ識別の欠如
    ・ID 空間の小さすぎるセッション追跡パラメータの使用
    ・規則的なセッション追跡パラメータの使用
    ・推測可能なセッション追跡パラメータの使用
    ・URL パラメータによるセッション追跡
    ・外部サイトへのリンクでセッション追跡パラメータがRefererとして漏えいする
    ・cookieによるセッション追跡
    ・TRACEメソッドによるAuthorizationヘッダ漏えいの可能性
    ・暗号化されないアクセスに個人情報が含まれる
    ・暗号化されないアクセスにセッション追跡パラメータが含まれる
    ・暗号化されないページへのリンクでのセッション追跡パラメータReferer送出
    ・暗号化されないページへのリンクでのセッション追跡用cookie平文送出
    ・セキュアでないcookieの使用
    ・http上のログイン画面
    ・ルートフレームがhttpにあるサブフレーム上のログイン画面
    ・異なるセッションで同一セッション追跡パラメータの使用
    ・永続的cookieの使用
    ・ログアウト機能の欠如
    ・ログアウト後のサーバセッションの残存
    ・サーバセッションの長時間にわたる残存
    ・クレジットカード番号の表示
    ・パスワードの出力
    ・再認証などWebProde対象外の脆弱性
    ・パラメータの改ざん
    ・Hidden フィールドの不正操作
    ・クロスサイトスクリプティング(XSS)
    ・バッファオーバーフロー
    ・コマンド・インジェクション
    ・SQL インジェクション
    ・強制ブラウジング
    ・サードパーティ製品の設定ミス
    ・既知の脆弱性
    ・バックアップファイルの検出
    ・バックドアとデバッグオプション
    ・HTML 中のコメント
    ・ディレクトリトラバーサル
    ・不適切なエラーハンドリング
    ・クロスサイトリクエストフォージェリ(CSRF)

資料ダウンロード

ソフトウェアの品質向上に関するお役立ち資料や、ヴェスのサービス資料をご用意しています。
Copyright cVes All Rights Reserved.