脆弱性診断サービス – アプリケーション

Web診断項目

Webサーバに搭載しているアプリケーションサーバに対してセキュリティ診断を実施いたします。診断方法については、自動診断と手動診断を組み合わせて実施しており、自動診断でできない部分に関しては手動診断にてセキュリティ診断を実施いたします。
価格はサイトボリュームをもとにお見積りとなっておりますので、お問い合わせください。

分類 NSHCコード 脆弱性項目 危険度 OWASP番号 備考
 

不必要な情報の露出
(WA-100)

WA-101 不必要なファイル/ページの露出 A10-2004
WA-102 不適切なログイン失敗メッセージ A6-2007
WA-103 コメント処理した重要情報の漏出 A3-2004
WA-104 エラーメッセージの露出 A6-2017
WA-105 サーバのバージョン情報の露出 A6-2017
WA-106 情報の露出に関するWebサーバのメタファイルを確認 A6-2017 オプション診断項目

 

重要な情報の露出
(WA-200)

WA-201 重要な情報の送信における暗号化通信の使用 A3-2017
WA-202 重要な情報の平文での露出 A3-2017
WA-203 ソースコードの露出 A5-2017
WA-204 ファイルダウンロードの脆弱性 A6-2017
WA-205 ディレクトリリスティングの脆弱性 A6-2017
WA-206 情報の漏えいに対する検索エンジンの検索と偵察の実施 A3-2017 オプション診断項目
WA-207 厳密なHTTP転送セキュリティのテスト A6-2017 オプション診断項目
 

 

 

 

脆弱な認証及び権限昇格/
権限盗用 (WA-300

WA-301 推測可能なアカウント/パスワード A2-2017
WA-302 Brute-Force攻撃の脆弱性 A2-2017
WA-303 クッキー認証の脆弱性 A2-2017
WA-304 セッション管理の脆弱性 A2-2017
WA-305 認証迂回の脆弱性 A5-2017
WA-306 クロスサイトスクリプティングの脆弱性 A7-2017
WA-307 クロスサイトリクエストフォージェリ(CSRF)の脆弱性 A1-2013
WA-308 管理ページ及びアクセス制御の脆弱性 A5-2017
WA-309 RIAクロスドメインポリシーをテスト A6-2017 オプション診断項目
WA-310 ブラウザキャッシュの脆弱性のテスト A3-2017 オプション診断項目
WA-311 ログアウト機能のテスト A2-2017 オプション診断項目
WA-312 クロスオリジンリソース共有のテスト A6-2017 オプション診断項目
WA-313 クロスサイトフラッシュのテスト A7-2017 オプション診断項目
WA-314 Webメッセージングのテスト A6-2017 オプション診断項目
WA-315 ローカルストレージのテスト A6-2017 オプション診断項目
 

 

データへのアクセス・
操作
(WA-400)

WA-401 SQL Injectionの脆弱性 A1-2017
WA-402 LDAP Injectionの脆弱性 A1-2017
WA-403 XPath Injectionの脆弱性 A1-2017
WA-404 ORM Injectionのテスト A1-2017 オプション診断項目
WA-405 SSI Injectionのテスト A1-2017 オプション診断項目
WA-406 IMAP/SMTP Injection A1-2017 オプション診断項目
WA-407 HTTP分割/密輸のテスト A6-2017 オプション診断項目
 

 

リモートによる
コマンド実行
(WA-500)

WA-501 Command Injectionの脆弱性 A1-2017
WA-502 Local File Inclusionの脆弱性 A1-2017
WA-503 Remote File Inclusionの脆弱性 A3-2007
WA-504 Formula Injectionの脆弱性 A1-2017
WA-505 XXE Injectionの脆弱性 A4-2017
WA-506 ファイルアップロードの脆弱性 A6-2017