Webアプリケーション脆弱性検査 - 診断項目
Webアプリケーション脆弱性検査(脆弱性診断)では、以下の診断項目を検査しています。
| カテゴリ | 診断項目 | スタンダードプラン | ウェブ 健康診断 |
| パラメータ操作 | クロスサイト・スクリプティング | ◎ | ○ |
| SQLインジェクション | ◎ | ○ | |
| HTTPヘッダ・インジェクション | ◎ | ○ | |
| メールヘッダ・インジェクション | ◎ | ○ | |
| OSコマンド・インジェクション | ◎ | ○ | |
| ディレクトリ・トラバーサル | ◎ | ○ | |
| evalインジェクション | △ | ||
| ファイルインクルード攻撃 | ◎ | ||
| オープンリダイレクタ | ◎ | ○ | |
| リファラからの情報漏洩 | ◎ | ○ | |
| コンテンツ | 公開ディレクトリチェック | ◎ | |
| ディレクトリ・リスティング | ◎ | ○ | |
| 強制ブラウジング・不要なファイルの公開 | ◎ | ||
| キャッシュ制御 | ◎ | ||
| ファイルアップロード・ダウンロード | アップロード機能の不備 | ◎ | |
| ダウンロード機能によるXSS | ◎ | ||
| ユーザの意思の反した機能実行 | クロスサイト・リクエスト・フォージェリー | ◎ | ○ |
| クリックジャッキング | ◎ | ||
| 通信暗号化 | SSL設定不備 | ◎ | |
| SSL使用状況 | ◎ | ||
| クッキーのセキュア属性不備 | ◎ | ○ | |
| セッション管理 | セッションID使用状況 | ◎ | ○ |
| Cookie使用状況 | ◎ | ||
| ログアウト機能 | ◎ | ○ | |
| セッションIDの固定化 | ◎ | ◎ | |
| 認証 | ユーザー認証処理 | ◎ | |
| アカウントロック機能 | ◎ | ◎ | |
| 自動ログインの不備 | ◎ | ||
| アクセス制御・認可 | アクセス制御不備 | ◎ | |
| 認可不備 | ◎ | ○ | |
| アカウント管理 | パスワードの仕様 | ◎ | ○ |
| パスワードリマインダの不備 | ◎ | ||
| アプリケーション | エラー処理状況 | ◎ | |
| ロジック流出 | △ | ||
| バックドア、デバッグオプションの存在 | △ |
凡例
◎: 標準的で網羅的な検査
○:簡易的な検査
△:リモートでは診断が難しくソースコード検査をお勧めするもの
※補足
(1)すべてのプランはIPA「安全なウェブサイトの作り方改訂第五版」を包含しています
(2)「ウェブ健康診断」は抜き取り検査で、それぞれの診断も、「ウェブ健康診断仕様」に従った簡易的な方法になります。ただし、サイトに悪影響を与えない範囲で、診断手法を工夫することはあり得ます。