Webサイトの脆弱性は日々発見されています。その数は、すでに数万種類と言われています。
これらの脆弱性は、ウイルス対策ソフトを使っても取り除くことができません。
例え駆除出来たとしても、対策を打たなければ、再び攻撃者の的になってしまう可能性があります。
診断を行い健康状態を把握することで対処方法がハッキリします。
まずは、Webサイトの健康診断、受けてみませんか?!
※1 Vulnerability EXplorer(VEX):優れた脆弱性検出率と多彩なレポート機能を有する、純国産Webアプリケーション脆弱性検査ツール。
会員登録やお問い合わせ、商品検索などの様々なサービス提供を実現するためのWebアプリケーションに対し、被害発生が想定されうる不具合(脆弱性)が存在しないか確認いたします。
会員登録機能、ログイン・ログアウト、決済機能、情報変更・削除機能、問合せ機能等
ネットワーク基盤の安全性を確認するため、ネットワーク上に配置されているサーバ群やネットワーク機器に対し、被害発生が想定されうる不備(脆弱性)が存在しないか確認いたします。
Webサーバの設定、メールサーバの設定やバージョン、DNSサーバの設定等
| ご利用形態 | ご利用会社 |
| ■ 開発工程に利用 単体テスト時に開発者自身で利用 |
・ポータルサイト運営会社 ・口コミ系サイト運営会社 |
| ■ ユーザテストに利用 リリース前の品質チェックで利用。 簡易レポートの結果が全て「〇」未検出の結果をテスト合格の条件としている |
・大手エネルギー会社 ・人材紹介会社 ・独立系システムインテグレータ |
| ■ 運用保守に利用 自社のWebサイトの定期検査に利用。 公開後のアプリケーションの定期検査。 修正追加機能のリリース前チェックに利用 |
・大手プロバイダ ・ユーザ系システムインテグレータ |
サービス種別および診断対象のリクエスト数により異なります。
サイト単位での診断となります。
診断結果報告書(サイト単位での報告書)
ゴールドプラス、ゴールド共に基本費用に含まれます。
・危険度の高い脆弱性を検出した際は、速報を提出
・報告会実施の場合:報告会実施後1ヶ月間、メールによるお問い合わせ
・報告会未実施の場合:報告書送付日から2週間、メールによるお問い合わせ
・改修完了後に再現確認診断を実施し、結果報告書を提出致します(オプション)
| 診断項目 | プラチナ | ゴールドplus | ゴールド |
| SQLインジェクション (SQL Injection) |
〇 | 〇 | 〇 |
| OSコマンドインジェクション (OS Command Injection) |
〇 | 〇 | 〇 |
| パラメータ操作 (Parameter Manipulation) |
〇 | 〇 | 〇 |
| クロスサイトスクリプティング (XSS) |
〇 | 〇 | 〇 |
| Cookieの使用方法 (Insecure Cookie) |
〇 | 〇 | 〇 |
| 不要なエラーメッセージ | 〇 | 〇 | 〇 |
| バッファオーバーフロー (Buffer Overflow) |
〇 | 〇 | 〇 |
| セッションフィクセーション (Session Fixation) |
〇 | 〇 | 〇 |
| クロスサイトリクエスト フォージェリーズ(CSRF) |
〇 | 〇 | 〇 |
| HTTPSの使用方法 (Insecure Protocol) |
〇 | 〇 | 〇 |
| 不要な情報 (Unnecessary Information) |
〇 | 〇 | 〇 |
| 不要なディレクトリ・ファイル (Unnecessary Files) |
〇 | 〇 | 〇 |
| サーバの設定ミス (Misconfigured Server Setting) |
〇 | 〇 | 〇 |
| プログラムの既知の脆弱性 (Known Vulnerability) |
〇 | 〇 | 〇 |
| なりすましによる不正利用 | 〇 | 〇 | |
| ログイン・ログアウト機能の妥当性 | 〇 | 〇 | |
| 権限詐称による情報閲覧 | 〇 | 〇 | |
| 強制閲覧 (Forceful Browsing) |
〇 | 〇 | |
| 不要なHTMLソースコメント (Client Side Comment) |
〇 | 〇 | |
| コンサルタントの経験による サイト特性に応じた応用的な調査 |
〇 |
・ゴールドの範囲を含む全ての項目に対して手動を軸とした診断
・業種及びサイト特性に合せ、応用的かつ複合条件で発生する問題への診断
・ゴールドをベースに、セッション管理の評価などを手動にて実施
・独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが手動で結果精査を行います
・独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが手動で結果精査を行います
攻撃者の観点で疑似攻撃を行い、システム構成要素(インストールされているソフトウェア及び バージョン)、設定から被害につながる挙動があるか確認いたします。
| 種別 | 診断項目 | 診断内容 |
| ネットワーク情報の取得 | ポートスキャン | サービス |
| 使用OSの推測 | 使用ソフトウェアの検出 | |
| ホスト名の調査 | 情報収集 | |
| 脆弱性の検出 | POP(メールサーバ) | 使用ソフトウェアの検出 |
| SMTP(メールサーバ) | 使用ソフトウェアの検出 | |
| VRFY調査、確認 | ||
| 不正リレー調査、確認 | ||
| DNS | 使用ソフトウェアの検出 | |
| 再帰問合の調査、確認 | ||
| FTP | 使用ソフトウェアの検出 | |
| 匿名アカウントによる接続 | ||
| SSH | 使用ソフトウェアの検出 | |
| 認証方法の調査、確認 | ||
| TELNET | 使用ソフトウェアの検出 | |
| SUNRPC | RPC情報取得 | |
| SNMP | コミュニティ名の推測 | |
| MIB情報の取得 | ||
| SMB | アカウント情報の収集 | |
| ファイル共有状態の確認 | ||
| NetBIOS情報の収集 | ||
| NTP | 使用ソフトウェアの検出 | |
| HTTP及びHTTPS | 使用ソフトウェアの検出 | |
| SSLの強度調査、確認 | ||
| 不要なファイルの検出 | ||
| 不要なディレクトリの検出 | ||
| WebDavとFrontPageの調査、確認 | ||
| アプリケーションマッピング調査、確認 | ||
| プロキシの不正利用調査、確認 |
詳しくはお問い合わせください。
Copyright © AIVS Corporation. All Rights Reserved.
