SERVICE
WEBアプリケーションの脆弱性を特定する手法として、 攻撃者のオペレーションを擬似的に再現し、システムの挙動を確認する方法が挙げられます。
不正なURLの入力、パラメタ受け渡しの検証、HTML(特にHiddenフィールド)の作り込み、 言語固有の問題など確認すべき項目は多岐に渡ります。
また、セキュリティプログラミングに精通した技術者による確認が必要です。
オンサイトにてサーバを調査いたします。サーバには診断用のアカウントを追加して頂き、そのアカウントを使用して様々なファイルを取得いたします。 持ち帰った情報を基に解析を行います。
各フェーズについて取得情報を明記し、問題となり得る部分をご指摘いたします。
WEBアプリケーションに潜む脆弱性はシステム固有の脆弱性と言えます。 一般的なアプリケーション(Apache・Sendmail・BIND等)の脆弱性はCERTやSecurityFocus等のセキュリティ専門機関によって発見及び公表がなされます。ユーザはこれらの情報を収集し適切な処置を施せば、システムのセキュリティを維持出来ます。 しかし独自に開発されたWEBアプリケーションの脆弱性は、積極的に調査を行わない限り発見される事はありません。 またファイアウォールやIDS等のセキュリティ機器ではカスタムWEBアプリケーションに対する攻撃を検出するのは困難である場合がほとんどです。
CONTACT
ご不明な点はお気軽に
お問い合わせください