診断メニュー表
診断
メニュー表
◎ Webアプリケーション脆弱性診断
診断メニュー表
大項目 | 診断項目 |
入出力処理 | ・クロスサイトスクリプティング |
・SQLインジェクション | |
・コマンドインジェクション | |
・HTTPヘッダインジェクション | |
・LDAPコマンド・インジェクション | |
・ディレクトリトラバーサル | |
・ファイルアップロード・ダウンロード | |
・ファイルインクルージョン | |
・安全でないデシリアライゼーション | |
・フィッシングサイト詐欺サイトへの誘導 | |
・メールの第三者中継 | |
・その他のパラメータ操作 | |
認証 | ・ログインフォームに関する調査 |
・ログインエラーメッセージの調査 | |
・アカウントロック機能 | |
・ログアウト機能 | |
・認証の回避 | |
認可 | ・権限昇格 |
・権限のない情報へのアクセス | |
・パスワード使用状況 | |
セッション管理 | ・Cookieの使用状況 |
・セッションIDの使用状況 | |
・クロスサイトリクエストフォージェリ | |
通信 | ・キャッシュ制御 |
・通信の暗号化強度 | |
・リファラ情報 | |
Webサーバ設定 | ・許可されているHTTPメソッド |
・サーバエラーメッセージ | |
・システム情報の開示 | |
Web2.0 | ・Flashコンテンツの脆弱性 |
・Ajaxコンテンツの脆弱性 | |
一般的な脆弱性 | ・既知のソフトウェア脆弱性 |
・強制ブラウジング | |
・ディレクトリリスティング | |
・クリックジャッキング |
◎ プラットフォーム脆弱性診断
診断メニュー表
大項目 | 診断項目 |
情報収集に対する対策有無 | ・公開情報の収集 |
・ICMPによる情報収集 | |
稼働ポートおよびサービスの確認 | ・TCPおよびUDPに対するポートスキャン |
・稼働ポートのバナーチェック | |
稼働サービスにおける固有の脆弱性の有無 | ・認証系サービスに対するパスワード強度確 |
・暗号化ポートの暗号強度確認 | |
・脆弱なバージョンを特定できる攻撃の試行 |
◎ API脆弱性診断(スマホAPI併用)
診断メニュー表
大項目 | 診断項目 |
入出力処理 | ・クロスサイトスクリプティング |
・SQLインジェクション | |
・コマンドインジェクション | |
・ディレクトリトラバーサル | |
・ファイルアップロード | |
・HTTPヘッダインジェクション | |
・フィッシング詐欺サイトへの誘導 | |
・パラメータ改ざん | |
・メールの第三者中継 | |
認証 | ・ログインフォームに関する調査 |
・ログインエラーメッセージの調査 | |
・ログイン・個人情報の送受信に関する調査 | |
・アカウントロック機能 | |
・ログアウト機能 | |
・認証の回避 | |
認可 | ・権限昇格 |
・権限のない情報へのアクセス | |
セッション管理 | ・Cookieのsecure属性 |
・Cookieの有効期限 | |
・セッションIDのランダム性確認 | |
・セッション固定 | |
・セッションの強制指定 | |
・クロスサイトリクエストフォージェリ | |
Webサーバ設定 | ・許可されているHTTPメソッド |
・サーバエラーメッセージ | |
・システム情報の開示 | |
Web 2.0 | ・Flashコンテンツの脆弱性 |
・Ajaxコンテンツの脆弱 | |
一般的な脆弱性 | ・既知のソフトウェア脆弱性 |
・強制ブラウジング | |
・ディレクトリリスティング |
◎ スマホアプリ脆弱性診断
診断メニュー表
大項目 | 診断項目 |
通信 | ・意図しない通信 |
・平⽂による情報送受信 | |
・SSL / TLS証明書検証の不備 | |
データログ | ・平⽂による内部ストレージへの重要情報保存 |
・データ改ざんによる不正⾏為 | |
・ファイルパーミッションの設定不備 | |
・外部ストレージ(SDカード)への重要情報保存 | |
・デバッグログへの重要情報出⼒ | |
設計 / 実装 | ・コンテントプロバイダのアクセス制御不備 |
・公開Activity等からの重要情報の漏えい等 | |
・WebView関連の脆弱性 | |
・耐タンパー性の不⾜ | |
・アプリへの秘密情報埋め込み |