
Webサイト 脆弱性診断
サービス概要
メールフォームや会員制サイト等、Web上で動作するプログラム(Webアプリケーション)は、攻撃に対して何も対策が取られていない場合、様々なセキュリティリスクに晒されています。Webアプリケーションの脆弱性を狙った攻撃は近年増加傾向にあり、データベースの情報を抜き取ったり、サイト内の情報を改ざんされる可能性が高まっています。
弊社では、Webサイトを安全に運用していただくために、Webアプリケーションの脆弱性診断を行っています。
脆弱性対策をすることで、より安全で安心な状態で情報を取り扱うことができます。ぜひご活用ください。
-
※弊社が開発・運用し、納品したお客様に限ります。
脅威
脆弱性対策を行っていない場合、以下のような脅威に晒され続けています。
SQLインジェクション
秘密情報・個人情報の漏洩
データベースには、Webサイトを利用するユーザーの個人情報を含む様々なデータが書き込まれています。
攻撃者がWebサイトに対して「SQLインジェクション」を仕掛けることで、データベースに悪意のある問い合わせや、操作を行う命令文を入力することができます。対策が取られていない場合、データベースに書き込まれている情報が抜き取られたり、Webサイトが改ざんされてしまう可能性があります。
クロスサイトスクリプティング(XSS)
個人情報の漏洩、マルウェア感染
Webサイト上にある入力フォームから悪意のあるスクリプトを投稿することで、そのサイトに悪意のあるプログラムを埋め込み、標的になったサイトとは別のサイトに情報を送信(クロス)します。送信される情報には、個人情報を含むCookieの中身などがあり、会員制サイトへのログイン情報などが抜き取られる可能性があります。
リモート・ファイルインクルージョン(RFI)
情報漏洩、Webページの改ざん
不正なスクリプトをサーバーに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバー、クライアントの両方に被害を与えます。リモート・ファイルインクルージョン(RFI)は、通常、与えられていない権限を書き換えることでデータをアップロード/ダウンロードさせることができたり、機密情報にアクセスするための権限を得るために、IDやパスワードを入力することを目的としています。
コマンドインジェクション
情報漏洩、ファイル改ざん、データベースの変更・破壊
コマンドインジェクションによる攻撃を受けると、Webサーバ上で任意のOSコマンドを実行され、本来想定していなかった命令を外部から強制的に実行されてしまいます。情報漏洩やファイル改ざんなど、不正にシステムを操作されることに加え、管理者権限の奪取も可能となり、システムに致命的なダメージを受ける可能性があります。
ディレクトリトラバーサル
ファイルの不正閲覧、個人・企業情報の流出
本来、アクセスして欲しくないファイルやディレクトリの位置を、相対パス指定などでプログラムに表示させ、不正なアクセスを行います。これにより、アクセスできないファイルを閲覧・ダウンロードされてしまい、情報の漏洩につながります。また、閲覧されたファイルの中にIDやパスワードが含まれていた場合、システムやサービスそのものが乗っ取られてしまう可能性があります。

対策がされていないWebサイトには
致命的な問題だらけ!
Webサイト 脆弱性診断で
問題解決!
被害の多い攻撃手法にすべて対応
特に被害報告が多い以下の5つの攻撃手法の対策を行います。
現在既に運用しているサイトにもご対応可能です。
【診断項目】
- ・SQLインジェクション
- ・クロスサイトスクリプティング(XSS)
- ・リモート・ファイルインクルージョン(RFI)
- ・コマンドインジェクション
- ・ディレクトリトラバーサル
※診断は動的ページのみとなります

診断フローの効率化により、
スピーディーに解決
項目を絞って診断を行うため、一般的な脆弱性診断よりも効率的かつスピーディーにご対応可能です。



診断スキルの標準化による、低価格を実現
診断スキルを標準化することで、エンジニアによる診断と同等の品質を担保したスタッフで対応しますので、その結果、短納期・低価格にてご提供可能です。

Webサイト制作時の
診断の流れ
Webサイトのリニューアル時の脆弱性診断にもご利用いただけます。
通常、開発を全て終えてから診断となりますが、本サービスでは、開発途中でも診断可能です。

よくあるご質問
-
Q
Webアプリケーションとは何ですか?
-
A
データベース上に格納されたデータを検索して呼び出す、Web上からメールを送るなど、
利用者の要求に応じてWeb上で動作するプログラムを指します。
-
Q
動的ページとはどのようなものを指しますか?
-
A
メールフォームやログインフォーム等、ユーザーのアクションによって表示が変化するページのことを指します。
-
Q
技術的に詳しくないのですが診断可能でしょうか?
-
A
問題ございません。
診断から結果までWebアプリケーション開発スタッフが一括して対応致しますので、
特に開発等の知識がなくてもご利用可能です。
-
Q
対策後、再診断は有償になりますでしょうか。
-
A
いいえ、無償で対応いたします。
-
Q
診断対象はWebサイト全体でしょうか?
-
A
診断対象は動的ページのみとなります。
ユーザーのアクションによって変化をしない、表示のみのページ(静的ページ)は診断対象ではありません。
-
Q
既に運用中のサイトに対して、診断を行う必要はありますか?
-
A
脆弱性診断を受けられたことがない場合は、気づかないうちに情報が抜き取られている可能性があります。
サイト更新時にWebアプリケーションを追加された場合は、その都度診断を受けることをオススメいたします。
お問い合わせ
さらに!
弊社では『Webサイト 脆弱性診断』以外にも、より診断項目を広げた脆弱性診断が可能な
『Webサイト 脆弱性診断プラス』
をご用意しております。
各種ハッキングコンテストで好成績を残したホワイトハッカーが所属する脆弱性診断となっており、
より細かな脆弱性の発見を希望される方はぜひご活用ください。
Webサイト 脆弱性診断 | Webサイト 脆弱性診断プラス | |
---|---|---|
診断可能数 | 5項目 |
47項目
(2020/8/7現在) |
診断方法 | ツールチェック | ツールチェック+手動チェック |
診断対象 | Webアプリケーション | Webアプリケーション |
※横スクロールで内容を確認出来ます。