WEBアプリの脆弱性が引き起こす会社への被害
経営へのダメージ
会社経営の中でホームページでの情報配信は欠かせないものになっており、脆弱性の大半がWebアプリケーションに関するもので占めている中、Webの脆弱性の診断・対策を行わないことによって、ホームページの一時停止や閉鎖が起こりえます。
信頼の損失
顧客情報の漏洩、取引先との信頼低下、自社ブランドの低下や風評被害、またセキュリティーに対する調査費用や構築費、場合によっては損賠賠償もあり得ます。 手遅れになる前に、是非とも一度WEB脆弱性診断サービスを受けることをお勧め致します。
多額の賠償金
個人情報漏洩・顧客情報の漏洩に関して過去に被害者が損害賠償(慰謝料)を求めた事例が複数あります。
そうした事例は一人当たりの賠償額は千円~1万円以上になり、企業として支払う賠償総額が数千万~数億円以上になった事例もあります。
サービス内容
2019年度でサイバー攻撃は約3,279億件と調査結果が出ており、2010年の約56億件から約58倍の数字となっております。
(NICT-情報通信研究機構参照)
危険性の高まる一方のWEBの世界において、豊富な診断経験とスキルをもったセキュリティの専門家が提供するWEB脆弱性診断サービスを弊社は提供しております。
御社のサービスをWebの脅威から監視をチェックし経営へのダメージ、信頼の損失を防ぐサービスとなっております。
検知できる攻撃
| N0. | 診断科目 | 危険度 | 内容 | |
|---|---|---|---|---|
| 1 | SQLインジェクション | 高 | データベースと連携したWebアプリケーションが問い合わせ命令文の実装方法に問題があることにより、任意のSQLを実行されてしまう脆弱性。 | |
| 2 | コマンドインジェクション | 高 | 外部からの攻撃により、任意のOSコマンドが不正に実行されてしまう脆弱性。 | |
| 3 | CRLFインジェクション | 高 | HTTPレスポンスヘッダに改行コードを挿入されることにより、意図しないヘッダーフィールドなどを追加されてしまう脆弱性。 | |
| 4 | 反射型クロスサイトスクリプティング(XSS) | 高 | 外部からの入力により、HTMLタグやJavaScriptが実行されてしまう脆弱性。 | |
| 5 | 持続型クロスサイトスクリプティング(XSS) | 高 | 外部から入力されたHTMLタグやJavaScriptがデータベースに保存され、入力された内容を表示する際に保存されたHTMLタグやJavaScriptが実行されてしまう脆弱性。 | |
| 6 | Dom Basedクロスサイトスクリプティング(XSS) | 高 | JavaScriptを表示する箇所で、外部から入力されたHTMLタグやJavaScriptが実行されてしまう脆弱性。 | |
| 7 | メールヘッダインジェクション | 高 | メールヘッダに改行コードを挿入されることにより、意図しないヘッダフィールドなどを追加されてしまう脆弱性。 | |
| 8 | evalインジェクション | 高 | Webアプリケーションに実装されているeval関数に対して任意のスクリプトコードが挿入されることにより、任意のスクリプトコードが実行されてしまう脆弱性。 | |
| 9 | パストラバーサル(ディレクトリトラバーサル) | 高 | ファイル名指定の実装に問題があり、第三者に任意のファイルを指定されることにより、Webアプリケーションが意図していない処理を実行されてしまう脆弱性。 | |
| 10 | XML外部エンティティ参照 (XXE) | 高 | XMLを使用している機能に外部実体参照が行われることにより、Webサーバ内のファイルなどを閲覧されてしまう脆弱性。 | |
| 11 | オープンリダイレクト | 中 | Webアプリケーションがリダイレクトを行う機能において、意図していないURLにリダイレクトを行われてしまう脆弱性。 | |
| 12 | シリアライズされたオブジェクト | 高 | 攻撃者が用意したシリアライズされたデータを読み込まされることにより、デシアライズした際に任意のオブジェクトを生成され任意のコードを実行されてしまう脆弱性。 | |
| 13 | リモートファイルインクルージョン(RFI) | 高 | スクリプトを外部から読み込ませる際に、攻撃者が指定した外部サーバのURLがファイルとして読み込まされることで、任意のスクリプトを実行されてしまう脆弱性。 | |
| 14 | クリックジャッキング | 中 | Webページに透明なHTMLなどを上に重ねて罠となるリンクやボタンを設置されることにより、意図しないコンテンツにアクセス・実行させられる脆弱性。 | |
| 15 | 認証回避 | 高 | 正規のユーザ名・IDとパスワードを使用せずに、ログインされてしまう脆弱性。 | |
| 16 | ログアウト機能の不備や未実装 | 中 | ログアウト後に継続的にログイン状態が保持されてしまう脆弱性。 | |
| 17 | 過度な認証試行に対する対策不備や未実装 | 低 | アカウントロック機能が備わっていないまたは十分な認証試行の回数制限を行っていない脆弱性。 | |
| 18 | 脆弱なパスワードポリシー | 低 | パスワード文字列の作成の際に、最低限必要な文字数、文字列、文字種の制限が十分に設定されていない脆弱性。 | |
| 19 | 復元可能なパスワード保存 | 中~高 | レスポンス内容や、パスワードリマインダ機能により外部からパスワードを確認されてしまう脆弱性。 | |
| 20 | パスワードリセットの不備 | 中 | パスワードリセット機能に不備があることにより、パスワードリセットを行ったユーザ以外の第三者にパスワードを取得されてしまう脆弱性。 | |
| 21 | 認可制御の不備 | 高 | ログイン後の画面やログインしたユーザが限定的に使用できる機能が、本来権限のない第三者に操作、閲覧されてしまう脆弱性。 | |
| 22 | クロスサイトリクエストフォージェリ(CSRF) | 高 | ログイン中のユーザにリクエストを強制的に実行させることができることにより、ユーザの権限を利用して投稿機能や決済などの機能を実行させることができる脆弱性。 | |
| 23 | URL埋め込みのセッションID | 高 | リクエストURLにログイン可能なセッションIDを埋め込んでいる脆弱性。 | |
| 24 | セッションフィクセイション(セッション固定攻撃) | 高 | 攻撃者の用意したセッションIDがユーザに強制されてしまう脆弱性。 | |
| 25 | 推測可能なセッションID | 高 | セッションIDの生成ロジックに不備があることにより、セッションIDを推測されてしまう脆弱性。 | |
| 26 | CookieのHttpOnly属性未設定 | 低 | セッションIDなどの重要なCookieにHttpOnly属性が未設定である脆弱性。 | |
| 27 | HTTPS利用時のCookieのSecure属性未設定 | 中 | セッションIDなどの重要なCookieにSecure属性が未設定である脆弱性。 | |
| 28 | クエリストリング情報の漏洩 | 中~高 | リクエストURLに重要情報が埋め込まれている脆弱性。 | |
| 29 | キャッシュからの情報漏洩 | 中~高 | Webアプリケーションのキャッシュ制御に不備があることにより、プロキシ・キャッシュサーバなどにキャッシュされた情報が別のユーザのブラウザに表示されてしまう脆弱性。 | |
| 30 | パスワードフィールドのマスク不備 | 低 | パスワードを入力する欄にマスク不備があることにより、ブラウザ上にパスワードが表示されてしまう脆弱性。 | |
| 31 | 画面表示上のマスク不備 | 低 | マスクすべき重要情報がマスクされておらず、表示されている脆弱性。 | |
| 32 | HTTPSの不備 | 中~高 | 機微情報を取り扱っているWebページがHTTP通信を行っている脆弱性。 | |
| 33 | 不要な情報の存在 | 低~高 | HTMLやJavaScriptなどに「攻撃者に有益な情報」や「公開不要な情報」が公開されている脆弱性。 | |
| 34 | ディレクトリリスティング | 中~高 | Webサーバ上の公開を意図していないリソースがファイル一覧表示されてしまう脆弱性。 | |
| 35 | バージョン番号表示 | 低 | サーバやアプリケーション、ミドルウェア、フレームワークなどのバージョンが表示されている脆弱性。 | |
| 36 | 不要なHTTPメソッド | 低 | TRACEメソッドが使用できる状態になっている脆弱性。 | |
| 37 | 公開不要な機能・ファイル・ディレクトリの存在 | 低~高 | サンプルファイルやバックアップファイルなど、アプリケーションの動作に不要なファイル、不特定多数に公開する必要がないファイルが公開されている脆弱性。 |
