個人情報の入力が不可欠なECサイトや会員登録サイトなどのwebを利用するサイトが拡大する一方で、webサイトへの不正アクセス(=攻撃)も急増しています。
当社は、大切なお客様の情報などを管理する企業様を対象に「webサイトの脆弱性診断」をお勧めしています。
■「脆弱性のあるwebサイト」
■「安全なwebサイト」
セキュリティ ブランケット シリーズはインターネット経由でお客様のWebサイトやネットワークにアクセスし、セキュリティ上の問題点をレポートするサービスです。
●「webサイトの脆弱性診断」の種類は、「手動診断」と「自動診断」があり、その他に「ネットワーク脆弱性診断」があります。
調査項目 | 具体例 | 手動 診断 |
ツール 診断 |
|
---|---|---|---|---|
認証 | ログイン | パスワードが画面表示されているか | ○ | × |
総当り攻撃対策の有無 | ○ | × | ||
暗号化処理が適切に実施されているか | ○ | × | ||
自動ログイン処理に不備がないか | ○ | × | ||
認証回避が可能か | ○ | × | ||
認証失敗を利用して存在するIDが判明しないか | ○ | × | ||
その他 | 管理者がユーザーのアカウント情報が閲覧可能か | ○ | × | |
セッション管理 | Cookieの取り扱い | Secure属性の指定が適切か | ○ | ○ |
HttpOnly属性の指定があるか | ○ | ○ | ||
Pathの指定が適切化か | ○ | × | ||
有効期限が長いCookieを発行しているか | ○ | ○ | ||
Cookieに不適切な値を保持していないか | ○ | × | ||
セッションID | 推測が容易なセッションIDを使用しているか | ○ | × | |
ユーザ側でセッションIDの指定が可能か | ○ | × | ||
セッションIDの偽造を不正と処理しているか | ○ | × | ||
異なるブラウザからセッションIDが送信された場合、不正と処理しているか | ○ | × | ||
ログイン前、ログイン後でセッションIDを変更しているか | ○ | ○ | ||
セッションの有効期限、破棄が適切か | ○ | × | ||
ログアウト機能が存在するか | ○ | × | ||
クロスサイトリクエストフォージェリ | ユーザが意図しないデータ登録、更新が実施されるか | ○ | △ | |
入出力処理 | SQLインジェクション | SQL文字列の入力を適切に処理しているか | ○ | ○ |
クロスサイトスクリプティング | タグ文字列の入力を適切に処理しているか | ○ | ○ | |
ディレクトリトラバーサル | ディレクトリ指定文字列の入力を適切に処理しているか | ○ | ○ | |
コマンドインジェクション | コマンド文字列の入力を適切に処理しているか | ○ | ○ | |
ヘッダーインジェクション | レスポンスヘッダーにセットされる入力を適切に処理しているか | ○ | ○ | |
リンクインジェクション | 任意リンクの埋め込みに利用される入力を適切に処理しているか | ○ | ○ | |
パラメータ推測 | 各パラメータに推測可能なものがないか | ○ | × | |
バッファオーバーフロー | サイズが大きい入力を適切に処理しているか | ○ | ○ | |
HTTPレスポンス分割 | HTTPのレスポンスに不正な改行が入らないか | ○ | ○ | |
リクエスト改竄 | 値変更による他ユーザ情報の開示 | ○ | × | |
ECサイト等でリクエスト改竄による重要情報(金額など)改竄 | ○ | × | ||
その他 | 特殊文字のエスケープ漏れがないか | ○ | ○ | |
内部エラー(500 インターナルサーバエラー)が発生しているか | ○ | ○ | ||
画面遷移 | 重要の更新 | 重要情報の更新時に確認メールを送信しているか | ○ | × |
重要の更新 | 重要情報の更新前に再認証を実施しているか | ○ | × | |
権限昇格 | 他ユーザの情報が閲覧、変更可能か | ○ | × | |
ユーザ管理 | 履歴 | ログイン履歴表示が存在するか | ○ | × |
利用履歴の表示機能が存在するか | ○ | × | ||
アカウント作成 | アカウント作成時は仮パスワードを発行し、ユーザに変更させているか | ○ | × | |
パスワード | 利用者が任意のタイミングでパスワードの変更が可能か | ○ | × | |
パスワード変更処理時に現在のパスワードが必須になっているか | ○ | × | ||
パスワードに有効期限が存在するか | ○ | × | ||
パスワードの世代管理を行っているか | ○ | × | ||
パスワードが利用者以外に閲覧可能か | ○ | × | ||
複雑なパスワードを強制しているか | ○ | × | ||
パスワードが画面やHTMLソースで確認可能か | ○ | × | ||
パスワード再発行で画面、メール等にパスワードを記載しているか | ○ | × | ||
パスワードリマインダの不備 | ○ | × | ||
暗号 | 通信の暗号化 | サーバ証明書エラーが発生しないか | ○ | × |
パスワードやクレジットカード番号といった重要情報を暗号化通信で送信しているか | ○ | × | ||
証明書がサービス提供者のものになっているか | ○ | × | ||
強度が低い暗号方式を許容していないか | ○ | × | ||
ロジック流出 | バッグドアとデバッグオプション | 開発用のデバッグ情報が表示されているか | ○ | × |
開発用のバッグドアが無効になっているか | ○ | × | ||
エラー処理 | エラー発生時にプログラムのロジックやソースを表示しているか | ○ | ○ | |
エラー画面にバージョン情報が表示されているか | ○ | × | ||
カスタムエラーページが適切に設定されているか | ○ | × | ||
情報公開 | 平文に変換可能な暗号化方式によって暗号化されている情報があるか | ○ | × | |
データベースのレコードやカラム名を連想させる情報を公開しているか | ○ | × | ||
サービス提供に不要な情報が公開されていないか | ○ | ○ | ||
コメント | 個人情報や開発会社、ソースコードなどの情報が記載されているか | ○ | ○ | |
メール | スパムメール | メールの送信先が固定か | ○ | × |
メールの送信は同時に1通のみ許可しているか | ○ | × | ||
メール本文内に任意の入力文字列が記述可能か | ○ | × | ||
送信元の改竄が可能か | ○ | × | ||
処理フローを無視して送信可能か | ○ | × | ||
画面設計 | 不適切な画面設計 | アドレスバーを表示しているか | ○ | × |
ステータスバーを表示しているか | ○ | × | ||
右クリックを禁止していないか | ○ | × | ||
ユーザへの説明 | ユーザへの説明無しに別ドメインへ遷移しているか | ○ | × | |
プライバシーポリシー(サイトポリシー)を明示しているか | ○ | × | ||
個人情報の取り扱い方はあっているか | ○ | × | ||
WebBugを使用しているか、使用している場合は適切な説明があるか | ○ | × | ||
一般的な脆弱性 | 既知のソフトウェア脆弱性 | 脆弱性のあるバージョンのWebアプリケーションを使用しているか | ○ | × |
強制ブラウジング | 推測が容易なディレクトリ、ファイルがあるか | ○ | ○ | |
システム管理ツールのWebインターフェースが公開されているか | ○ | ○ | ||
ディレクトリリスティング | ファイル一覧が取得可能なディレクトリがあるか | ○ | ○ | |
ファイルダウンロード・アップロードの問題 | 他ユーザがアップロードしたファイルのダウンロード | ○ | × | |
ファイルアップロードによるインジェクション攻撃 | ○ | × | ||
Webサーバ設定 | システム情報の開示 | レスポンスヘッダにバージョン情報が記載されているか | ○ | ○ |
サーバエラーメッセージ | デフォルトのサーバエラーメッセージが表示されているか | ○ | ○ |
※本サービスである「セキュリティ診断サービス」は、株式会社ケイティケイソリューションズ(KtK Solutions.inc)の提供です。