WEBサイト脆弱性診断
新規構築したWEBサイトは、公開した瞬間から徐々にセキュリティレベルが低下していきます。新たに出現するサイバー攻撃手法、新たに発見されるOSやアプリケーションの脆弱性、Webサイト改修の際にできるアプリケーションの脆弱性などがセキュリティレベル低下の原因となります。そしてこれはほとんどのWEBサイトに共通して起きる現象です。
また新規公開直後のWEBサイトだから安心できるわけではありません。システム開発は傾向として納期との闘いとなることが多く、セキュリティが十分に担保されたコーディングがされているケースはむしろ少ないと言えます。
そのためWEBサイトのセキュリティ診断は下記ケースで必要となります。
1 定期診断
ISMS(ISO27001)やプライバシーマーク取得企業・組織などがセキュリティのPDCAを回すために必要となってきます。年に1、2回診断を受け、リスクの把握をします。診断結果に基づきWEBサイトのセキュリティ対策をすることで低下するセキュリティレベルを引き上げることができます。本来、定期診断はすべてのWEBサイトで実施されることが望ましい姿です。
2 新規公開前の診断
新規公開、本番稼働する前のWEBサイトを診断します。新たに開発したアプリケーションに潜む脆弱性を事前に発見、修正を行った後に公開を行います。
3 WEBサイト改修後の診断
WEBサイトのアプリケーションに追加、変更が生じた場合、新たな脆弱性が発生する可能性があります。そのため改修、本番稼働前にあらかじめ診断を受け脆弱性を事前に発見して修正を行います。
フェイスのWEBサイト脆弱性診断
セキュリティ専門技術者がインターネット経由でリモートによりお客様WEBサイトを診断します。
診断内容はOS、ミドルウェアのチェックも含め、通常のセキュリティ運用に必要十分な約30項目程度を実施します。
また近年のサイバー攻撃はWebアプリケーションの脆弱性を突くものが50%を超えており、そのためWebアプリケーションの脆弱性を診断する内容を充実させています。
ご費用はWEBサイト 1サイト30万円からご提供します。
セキュリティ診断結果は報告書としてご提示します。報告内容は開発部門の改善目安となります。
診断項目
(お客様のWEBサイト環境やご要望によって不要な診断、実施できない診断があります。ご了承ください。)
- ブルート・フォース
- 脆弱パスワード調査
- 資格情報/セッション予測
- セッション固定
- コンテンツ・スプーフィング
- クロスサイト・スクリプティング
- バッファー・オーバーフロー
- 書式文字列攻撃
- LDAP 注入
- OS コマンド実行
- SQL 注入
- SSI 注入
- アプリケーション・プライバシー・テスト
- リモート・ファイル・インクルード
- クロスサイト・リクエスト・フォージェリー
- HTTP レスポンス分割
- NULL バイト・インジェクション
- XML 外部エンティティー
- XPath 注入
- パス・トラバーサル
- サービス妨害
- メール・コマンド注入
- XML 注入
- SSL/TLS強度チェック
- ディレクトリブラウジング
- ミドルウェアの不適切な設定
- ミドルウェアの既知の脆弱性
- 外部リダイレクト
- ポートスキャン