WEBアプリケーションの診断項目
こちらでは、WEBアプリケーション脆弱性診断の主な項目について紹介しています。脆弱性診断について気になっている人は、ぜひ参考にしてみてください。
WEBアプリケーション脆弱性診断の主な項目
入出力処理に関する調査
クロスサイトスクリプティング(XSS)とは、WEBサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃のことをいいます。WEBアプリケーション脆弱性診断では、このような悪意のあるスクリプトを埋め込める脆弱性がないかを診断します。
SQLインジェクションとは、WEBアプリケーションの脆弱性を悪用したサイバー攻撃のことです。WEBアプリケーション脆弱性診断では、データベース内の情報が漏洩したり、改ざんされたりしてしまう脆弱性がないかを診断します。
コマンド・インジェクションとは、脆弱性を持つアプリケーションを通じて攻撃者が不正なOSコマンドを送信し、それによって攻撃対象となったPCやサーバーに不正アクセスを行うサイバー攻撃のことです。WEBアプリケーション脆弱性診断では、意図しないコマンドが実行される脆弱性がないかを診断します。
パラメータの改ざんとは、URLパラメータやhidden、Cookieなどのリクエストを攻撃者が書き換え、サーバーへと送る攻撃のことです。改ざんされては困るパラメータではクライアントから受け取った値を利用しないなどの適切な対応が必要です。
認証に関する調査
ログインフォームでの入力情報の取り扱いは適切かについて、Email/PWと2段階認証の成否をサーバー側で管理している場合、両者が成功しているとサーバー側で確認できて初めてログインセッションやトークンをクライアントに対して発行します。それを受け取ることでクライアントがその後の処理を進められる実装に変更すべきです。
ログイン失敗時に、ユーザーに再試行を促すためのエラーメッセージが登録済メールアドレスとそれ以外とで違うという場合、メッセージ出力の問題で、認証情報が推測できる脆弱性がないかを診断します。
メールアドレスとは別に、ログインIDなど、外部に漏れても問題ない情報を別途用意して生成し、それをログイン時に用いるようにすると、ログイン・個人情報の送受信についての問題に対処することができます。
認可に関する調査
一般ユーザー自身が、管理者ユーザーの権限がなくとも管理者ユーザーを作成できて認証することができる場合など、権限がないはずの機能を利用できる脆弱性がないかを診断します。
ある情報にアクセスする際、一般ユーザーが管理者ユーザーとして振る舞えるような状態になっていないかを診断します。
セッション管理に関する調査
セッション管理の不備を狙った、セッションIDの固定化という攻撃手法があります。セッションが長期間固定されていて、他社から特定可能になっていないかを診断します。
CSRF(クロスサイトリクエストフォージェリ)はWEBシステムを悪用したサイバー攻撃の一つ。正しい遷移元画面からの実行か検証しておらず、情報の登録・削除などをユーザーが意図せずに行ってしまう脆弱性はないかを診断します。
一般的な脆弱性に関する調査
ウェブアプリケーションの構築にはオープンソースソフトウェア(OSS)を活用することが多く、バージョンアップをする過程で、プログラムのバグによる動作不良や、セキュリティ上の欠陥となる脆弱性が発見されることがあり、攻撃者はこの脆弱性を悪用します。
簡単に推測できるセッションIDである場合、管理者やユーザーになりすますことが可能となってしまい、情報が取得される恐れがあります
リダイレクトやフォワードなどのURLの向きを変えたり、転送させたりしてユーザーを別のURLに強制移動させるなど、javascriptで多用することは推奨されていません。
診断で明らかになる脆弱性
ネットワークやサーバー、WEBアプリケーションの脆弱性を洗い出し、悪意のある攻撃者からの攻撃や情報漏えいに関してのリスクを未然に回避するため、セキュリティ診断サービスを利用することをおすすめします。
【リスク別】WEBアプリケーション
診断後の対策をみる
本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を2社、状況・課題別に紹介しています。
専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。
[状況・課題別]
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる
