 |
弱いアプリケーションは業務を危険にさらします。 WEBアプリケーション診断で、アプリケーションの脆弱性をチェックしてください。 |
情報漏洩してからでは手遅れ!!
情報漏洩、サーバのクラッキングなどインターネットの発達により、様々な方法で企業の重要な情報が狙われ、 大切なお客様のデータが危険にさらされる時代になりました。 いつ攻撃の対象になってもおかしくない今、被害を受けないための準備はできていますか?
今回、弊社では、お客様のWEBアプリケーション(CGIなど)に特化した脆弱性を検査する 「セキュリティ診断 : WEBアプリ・チェック」(¥84,000-)サービスを、開始致しました 。
情報漏洩が非常に心配な今、ぜひお客様のサイトの安全をご確認ください。
セキュリティ診断までの流れ
セキュリティ診断をお申し込み頂き、レポートまでの流れは下記の通りとなります。
セキュリティ診断の主な項目
「セキュリティ診断 : WEBアプリ・チェック」は、次のようなカテゴリに対してセキュリティチェックを実施いたします。- Forceful Browsing : 強制的ブラウズ
- Forceful Browsingは、WEBブラウザにURLを直接入力し、 WEBサーバのディレクトリ情報やファイル情報を表示させることをさします。 適切な設定がない場合には、ブラウズしたディレクトリの一覧や、 本来隠しておくべきファイルなどが表示されてしまう ことあります。
- Path Traversal / Directory Traversal : パス乗り換え
- Path Traversal は、Forceful Browsing の一種で、 URLに OS独自のディレクトリ移動の文字列を指定することで、 本来公開されていないディレクトリの情報を表示し、不正に情報を入手する方式をさします。
- SQL Injection : SQLインジェクション
- SQLインジェクションは、WEBアプリケーションの入力欄(特にログインやパスワードの入力欄)に、 SQL文を挿入することで WEBアプリケーションの認証を回避したり、データを不正に取り出したりします。
- OS Command Injection : OS コマンドインジェクション
- OSコマンドインジェクションは、SQLインジェクションのように入力欄に、OS 独自のコマンドを入力することで OSの情報を不正に取り出したり、ファイルシステムを破壊することのできる脆弱性です。
- Session hijack : セッション・ハイジャック
- セッション・ハイジャックは、通常利用しているWEBアプリケーションの Cookie やセッション情報をコピーし 第三者がそのユーザになりすましてWEBアプリケーションを利用してしまう脆弱性です。
Cookie がコピー(クロスサイト・スクリプティングでも可能)された場合、上記のようにセッションを 不正に利用される可能性があります。 - Cross Site Scripting (XSS) : クロスサイト・スクリプティング
- クロスサイト・スクリプティングは、 攻撃者が作成したスクリプトを脆弱なWebサイトを介して、ほかのユーザーのブラウザ上で実行させる攻撃をさします。 これにより 正規ユーザーのセッション情報が盗まれてなりすまし攻撃を受けたり、 偽のページを表示させてフィッシング詐欺に利用されたりする可能性があります。
- Parameter Alteration : パラメータ改竄/パラメータ汚染
- パラメータ改竄は、アプリケーションがURLパラメータやhidden、Cookieなどに入れた値を 書き換えてサーバに送り返す攻撃です。 これによりデータの改ざんや他人へのなりすまし攻撃を受ける可能性があります。
特に電子商取引においてWEBアプリケーションを利用している場合、 パラメータ改竄により 提供価格を操作されたり、偽ったユーザ情報により受発注が行われる危険性をもちます。
便利なWEBアプリケーションを、安心して使うためにも、セキュリティチェックや脆弱性チェックが必要です。
サービスについての詳細は、お問い合わせフォームでご連絡ください。
折り返し、サービスに関する資料とサービス内容に関してのパンフレットをお送りいたします。
