株式会社アイ・セプト
Webサイト 脆弱性診断

Webサイト 脆弱性診断

サービス概要

メールフォームや会員制サイト等、Web上で動作するプログラム(Webアプリケーション)は、攻撃に対して何も対策が取られていない場合、様々なセキュリティリスクに晒されています。Webアプリケーションの脆弱性を狙った攻撃は近年増加傾向にあり、データベースの情報を抜き取ったり、サイト内の情報を改ざんされる可能性が高まっています。
弊社では、Webサイトを安全に運用していただくために、Webアプリケーションの脆弱性診断を行っています。
脆弱性対策をすることで、より安全で安心な状態で情報を取り扱うことができます。ぜひご活用ください。

脅威

脆弱性対策を行っていない場合、以下のような脅威に晒され続けています。

SQLインジェクション

秘密情報・個人情報の漏洩

データベースには、Webサイトを利用するユーザーの個人情報を含む様々なデータが書き込まれています。
攻撃者がWebサイトに対して「SQLインジェクション」を仕掛けることで、データベースに悪意のある問い合わせや、操作を行う命令文を入力することができます。対策が取られていない場合、データベースに書き込まれている情報が抜き取られたり、Webサイトが改ざんされてしまう可能性があります。

クロスサイトスクリプティング(XSS)

個人情報の漏洩、マルウェア感染

Webサイト上にある入力フォームから悪意のあるスクリプトを投稿することで、そのサイトに悪意のあるプログラムを埋め込み、標的になったサイトとは別のサイトに情報を送信(クロス)します。送信される情報には、個人情報を含むCookieの中身などがあり、会員制サイトへのログイン情報などが抜き取られる可能性があります。

リモート・ファイルインクルージョン(RFI)

情報漏洩、Webページの改ざん

不正なスクリプトをサーバーに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバー、クライアントの両方に被害を与えます。リモート・ファイルインクルージョン(RFI)は、通常、与えられていない権限を書き換えることでデータをアップロード/ダウンロードさせることができたり、機密情報にアクセスするための権限を得るために、IDやパスワードを入力することを目的としています。

コマンドインジェクション

情報漏洩、ファイル改ざん、データベースの変更・破壊

コマンドインジェクションによる攻撃を受けると、Webサーバ上で任意のOSコマンドを実行され、本来想定していなかった命令を外部から強制的に実行されてしまいます。情報漏洩やファイル改ざんなど、不正にシステムを操作されることに加え、管理者権限の奪取も可能となり、システムに致命的なダメージを受ける可能性があります。

ディレクトリトラバーサル

ファイルの不正閲覧、個人・企業情報の流出

本来、アクセスして欲しくないファイルやディレクトリの位置を、相対パス指定などでプログラムに表示させ、不正なアクセスを行います。これにより、アクセスできないファイルを閲覧・ダウンロードされてしまい、情報の漏洩につながります。また、閲覧されたファイルの中にIDやパスワードが含まれていた場合、システムやサービスそのものが乗っ取られてしまう可能性があります。

対策がされていないWebサイトには
致命的な問題だらけ!

Webサイト 脆弱性診断で
問題解決!

被害の多い攻撃手法にすべて対応

特に被害報告が多い以下の5つの攻撃手法の対策を行います。
現在既に運用しているサイトにもご対応可能です。

【診断項目】

  • ・SQLインジェクション
  • ・クロスサイトスクリプティング(XSS)
  • ・リモート・ファイルインクルージョン(RFI)
  • ・コマンドインジェクション
  • ・ディレクトリトラバーサル

※診断は動的ページのみとなります

被害の多い攻撃手法にすべて対応

診断フローの効率化により、
スピーディーに解決

項目を絞って診断を行うため、一般的な脆弱性診断よりも効率的かつスピーディーにご対応可能です。

診断フローの効率化により、スピーディーに解決
従来の診断方法
本サービスの診断方法

診断スキルの標準化による、低価格を実現

診断スキルを標準化することで、エンジニアによる診断と同等の品質を担保したスタッフで対応しますので、その結果、短納期・低価格にてご提供可能です。

診断スキルの標準化による、低価格を実現

Webサイト制作時の
診断の流れ

Webサイトのリニューアル時の脆弱性診断にもご利用いただけます。
通常、開発を全て終えてから診断となりますが、本サービスでは、開発途中でも診断可能です。

Webサイト制作時の診断の流れ

よくあるご質問

  • Q

    Webアプリケーションとは何ですか?

  • A

    データベース上に格納されたデータを検索して呼び出す、Web上からメールを送るなど、
    利用者の要求に応じてWeb上で動作するプログラムを指します。

  • Q

    動的ページとはどのようなものを指しますか?

  • A

    メールフォームやログインフォーム等、ユーザーのアクションによって表示が変化するページのことを指します。

  • Q

    技術的に詳しくないのですが診断可能でしょうか?

  • A

    問題ございません。
    診断から結果までWebアプリケーション開発スタッフが一括して対応致しますので、
    特に開発等の知識がなくてもご利用可能です。

  • Q

    対策後、再診断は有償になりますでしょうか。

  • A

    いいえ、無償で対応いたします。

  • Q

    診断対象はWebサイト全体でしょうか?

  • A

    診断対象は動的ページのみとなります。
    ユーザーのアクションによって変化をしない、表示のみのページ(静的ページ)は診断対象ではありません。

  • Q

    既に運用中のサイトに対して、診断を行う必要はありますか?

  • A

    脆弱性診断を受けられたことがない場合は、気づかないうちに情報が抜き取られている可能性があります。
    サイト更新時にWebアプリケーションを追加された場合は、その都度診断を受けることをオススメいたします。

お問い合わせ

必須会社名

会社名は必須です。

例)株式会社アイ・セプト

例)株式会社アイ・セプト
必須ご担当者様 氏名

ご担当者様 氏名は必須です。

例)佐藤 次郎

例)佐藤 次郎
必須ご担当者様 役職

ご相談者様 役職は必須です。

例)広報課

例)広報課
必須電話番号

電話番号は必須です。

例)052-111-222※半角

例)052-111-222※半角
必須メールアドレス

メールアドレスは必須です。

メールアドレスの形式に不備があります。

例)info@i-cept.jp※半角英数字

例)info@i-cept.jp※半角英数字
必須都道府県

都道府県は必須です。
必須詳細なご相談内容

詳細なご相談内容は必須です。

本ページはSSL暗号化通信を使用して保護されております。
これによりお客様がご入力された情報はすべて暗号化されますので、安心して送信していただくことが出来ます。

お客様より個人情報の取り扱いにつきましてはプライバシーポリシーをご覧ください。

さらに!

弊社では『Webサイト 脆弱性診断』以外にも、より診断項目を広げた脆弱性診断が可能な
『Webサイト 脆弱性診断プラス』
をご用意しております。

各種ハッキングコンテストで好成績を残したホワイトハッカーが所属する脆弱性診断となっており、
より細かな脆弱性の発見を希望される方はぜひご活用ください。

お問い合わせ

Webサイト 脆弱性診断 Webサイト 脆弱性診断プラス
診断可能数 5項目

47項目

  • クロスサイトスクリプティング
  • SQLインジェクション
  • OSコマンドインジェクション
  • HTTPヘッダインジェクション
  • メールヘッダインジェクション
  • XXEインジェクション
  • LDAPインジェクション 他

(2020/8/7現在)
診断方法 ツールチェック ツールチェック+手動チェック
診断対象 Webアプリケーション Webアプリケーション

※横スクロールで内容を確認出来ます。

お問い合わせ