診断メニュー表

診断
メニュー表

◎ Webアプリケーション脆弱性診断
診断メニュー表

大項目診断項目
入出力処理・クロスサイトスクリプティング
・SQLインジェクション
・コマンドインジェクション
・HTTPヘッダインジェクション
・LDAPコマンド・インジェクション
・ディレクトリトラバーサル
・ファイルアップロード・ダウンロード
・ファイルインクルージョン
・安全でないデシリアライゼーション
・フィッシングサイト詐欺サイトへの誘導
・メールの第三者中継
・その他のパラメータ操作
認証・ログインフォームに関する調査
・ログインエラーメッセージの調査
・アカウントロック機能
・ログアウト機能
・認証の回避
認可・権限昇格
・権限のない情報へのアクセス
・パスワード使用状況
セッション管理・Cookieの使用状況
・セッションIDの使用状況
・クロスサイトリクエストフォージェリ
通信・キャッシュ制御
・通信の暗号化強度
・リファラ情報
Webサーバ設定・許可されているHTTPメソッド
・サーバエラーメッセージ
・システム情報の開示
Web2.0・Flashコンテンツの脆弱性
・Ajaxコンテンツの脆弱性
一般的な脆弱性・既知のソフトウェア脆弱性
・強制ブラウジング
・ディレクトリリスティング
・クリックジャッキング

◎ プラットフォーム脆弱性診断
診断メニュー表

大項目診断項目
情報収集に対する対策有無・公開情報の収集
・ICMPによる情報収集
稼働ポートおよびサービスの確認・TCPおよびUDPに対するポートスキャン
・稼働ポートのバナーチェック
稼働サービスにおける固有の脆弱性の有無・認証系サービスに対するパスワード強度確
・暗号化ポートの暗号強度確認
・脆弱なバージョンを特定できる攻撃の試行

◎ API脆弱性診断(スマホAPI併用)
診断メニュー表

大項目診断項目
入出力処理・クロスサイトスクリプティング
・SQLインジェクション
・コマンドインジェクション
・ディレクトリトラバーサル
・ファイルアップロード
・HTTPヘッダインジェクション
・フィッシング詐欺サイトへの誘導
・パラメータ改ざん
・メールの第三者中継
認証・ログインフォームに関する調査
・ログインエラーメッセージの調査
・ログイン・個人情報の送受信に関する調査
・アカウントロック機能
・ログアウト機能
・認証の回避
認可・権限昇格
・権限のない情報へのアクセス
セッション管理・Cookieのsecure属性
・Cookieの有効期限
・セッションIDのランダム性確認
・セッション固定
・セッションの強制指定
・クロスサイトリクエストフォージェリ
Webサーバ設定・許可されているHTTPメソッド
・サーバエラーメッセージ
・システム情報の開示
Web 2.0・Flashコンテンツの脆弱性
・Ajaxコンテンツの脆弱
一般的な脆弱性・既知のソフトウェア脆弱性
・強制ブラウジング
・ディレクトリリスティング

◎ スマホアプリ脆弱性診断
診断メニュー表

大項目診断項目
通信・意図しない通信
・平⽂による情報送受信
・SSL / TLS証明書検証の不備
データログ・平⽂による内部ストレージへの重要情報保存
・データ改ざんによる不正⾏為
・ファイルパーミッションの設定不備
・外部ストレージ(SDカード)への重要情報保存
・デバッグログへの重要情報出⼒
設計 / 実装・コンテントプロバイダのアクセス制御不備
・公開Activity等からの重要情報の漏えい等
・WebView関連の脆弱性
・耐タンパー性の不⾜
・アプリへの秘密情報埋め込み