脆弱性診断サービス Powered by GMOイエラエ全般
仕様
Webアプリケーション診断について
Webアプリケーション診断に必要なクローリングは、お申し込みを前提に無料で実施できます。
ただしクローリング実施後にお申し込みを辞退されると、 GMOサイバーセキュリティ byイエラエ株式会社からの請求に基づき、一律55,000円(税込)を請求する場合があります。
クローリングとは
お客様のWebアプリケーションにアクセスし、診断対象となる動的リクエスト数のカウント、画面遷移方法の把握、検査手法の検討等を行うための網羅的な探査行為です。
Webアプリケーション診断項目
| 入出力処理 | クロスサイトスクリプティング |
|---|---|
| SQLインジェクション | |
| コマンドインジェクション | |
| ディレクトリトラバーサル | |
| ファイルアップロード | |
| HTTPヘッダインジェクション | |
| フィッシング詐欺サイトへの誘導 | |
| パラメーター改ざん | |
| メールの第三者中継 | |
| 認証 | ログインフォームに関する調査 |
| ログインエラーメッセージの調査 | |
| ログイン・個人情報の送受信に関する調査 | |
| アカウントロック機能 | |
| ログアウト機能 | |
| 認証の回避 | |
| 認可 | 権限昇格 |
| 権限のない情報へのアクセス | |
| セッション管理 | Cookieのsecure属性 |
| Cookieの有効期限 | |
| セッション固定 | |
| セッションの強制指定 | |
| クロスサイトリクエストフォージェリ | |
| Webサーバー設定 | 許可されているHTTPメソッド |
| サーバーエラーメッセージ | |
| システム情報の開示 | |
| Web 2.0 | Flashコンテンツの脆弱性 |
| Ajaxコンテンツの脆弱性 | |
| 一般的な脆弱性 | 既知のソフトウェア脆弱性 |
| 強制ブラウジング | |
| ディレクトリリスティング |
スマホアプリ診断について
以下の2種類のプランがあります。
- ライトプラン(動的解析)
アプリを動作させた際に生成されるファイルやログの内容、発生する通信の中身を調査します。 - フルプラン(動的解析+静的解析)
ライトプランの内容に加え、リバースエンジニアリングしたソースコードから脆弱性を調査します。
必要に応じて実証コードを書き、想定した攻撃シナリオが成功するかを検証します。
スマホアプリ診断項目
| ライトプラン | フルプラン | ||
|---|---|---|---|
| 通信 | 意図しない通信 | ○ | ○ |
| 平文による秘密情報の送受信 | ○ | ○ | |
| SSL/TLS証明書検証の不備 | ○ | ○ | |
| データ・ログ | 平文による内部ストレージへの秘密情報保存 | ○ | ○ |
| データ改ざんによる不正行為 | ○ | ○ | |
|
ファイルパーミッションの設定不備 ※Androidアプリのみ対象 |
○ | ○ | |
|
外部ストレージ(SDカード)への秘密情報保存 ※Androidアプリのみ対象 |
○ | ○ | |
| デバッグログへの秘密情報出力 | ○ | ○ | |
| 設計・実装 |
コンテントプロバイダのアクセス制御不備 ※Androidアプリのみ対象 |
- | ○ |
|
公開Activity等からの重要情報の漏えい等 ※Androidアプリのみ対象 |
- | ○ | |
| WebView関連の脆弱性 | - | ○ | |
| 耐タンパー性の不足 | - | ○ | |
| アプリへの秘密情報埋め込み | - | ○ | |
※iOSアプリは、OS仕様により診断行為に対する制限が多く、診断の精度が下がる場合があります。
ソースコードをご提供頂いた場合は診断期間を短縮できる可能性があります。
ネットワーク診断について
対象ホストで稼働するネットワークサービスの脆弱性を列挙することで、現状のセキュリティレベルを把握します。
ネットワーク診断項目
| ネットワーク診断 | ||
|---|---|---|
| ホストのスキャン | ポートスキャン | ○ |
| 実行中のサービスの検出 | ○ | |
| ネットワークサービスの脆弱性 | DNSに関する調査 | ○ |
| メールサーバーに関する調査 | ○ | |
| FTPに関する調査 | ○ | |
| Windowsネットワークサービスに関する調査 | ○ | |
| SNMPに関する調査 | ○ | |
| SSHサーバーに関する調査 | ○ | |
| データベースサーバーに関する調査 | ○ | |
| Webサーバーの脆弱性 | Webサーバーの脆弱性 | ○ |
| 各種OSの脆弱性 | Windowsの既知の脆弱性 | ○ |
| その他各種OSの既知の脆弱性 | ○ | |
| 悪意あるソフトウェア | バックドアの調査 | ○ |
| P2Pソフトウェアの調査 | ○ | |
| ネットワーク機器の脆弱性 | 各種ネットワーク機器の既知の脆弱性 | ○ |
| 認証サービスへの攻撃 | 認証サービスの検出 | ○ |
| 辞書攻撃/Joeアカウント検出 | ○ | |
脆弱性診断を行った際のデータの扱い
- 脆弱性診断のために入手したお客様のデータは、診断終了から30日間経過後に消去します。
メンテナンス・トラブル情報について
- メンテナンス・トラブル情報などご案内事項がある場合は、サービスアクティビティ、および、障害・お知らせ通知にてニフクラに登録中のメールアドレス宛に通知します。
メールアドレスに通知される内容や、登録できるメールアドレスの情報などは以下を確認してください。
クラウド技術仕様/制限値(アカウントメニュー:障害・お知らせ通知:基本仕様)
注意事項
- 本サービスは、ニフクラ内での利用に限定されます。
- 診断対象は、インターネット上に公開していて、ニフクラ上で稼働しているお客様のアプリケーションおよびシステム等に限ります。
- ニフクラ 禁止事項 に抵触する作業内容は実施できません。利用する際は、あらかじめ内容を確認してください。
- 診断に関する連絡は、GMOサイバーセキュリティ byイエラエ株式会社より、申し込み時に指定された連絡先へ行います。
- 申し込みから最短約1週間で着手可能です。診断内容、お客様環境によっては、診断期間が10~20営業日程度かかります。
Webアプリケーション診断・スマホアプリ診断について
- 24時間常に試験が可能なステージング環境を準備してください。
- 診断日は指定可能ですが、診断時間の指定は行えません。
- 診断中もシステム改修作業は可能です。ただし、改修により変更を加えた箇所の再診断は行えません。
ネットワーク診断について
- 24時間常に試験が可能な環境(本番環境推奨)を準備してください。
- 診断日は指定可能ですが、診断時間の指定は行えません。
- 診断中もシステム改修作業は可能です。ただし、改修により変更を加えた箇所の再診断は行えません。
診断結果に関するご質問/再試験について
- 脆弱性診断結果報告書の提出より30日以内の期間中は、診断結果に関するご質問への回答と、再試験(同内容)の実施が可能です。
お問い合わせについて
障害やトラブル時などのお問い合わせは、ニフクラにて24時間365日受け付け可能です。
窓口での回答が難しい場合には、提供元ソリューションベンダーにエスカレーションをしてから回答します。
この場合、窓口対応時間や回答速度は提供企業窓口に準じます。
ニフクラ お問い合わせ
脆弱性診断サービス Powered by GMOイエラエ[S]についてのFAQ
