Web Application Webアプリケーション

Webアプリケーション診断では、保有するWebアプリケーションシステムに対して、疑似攻撃を行い、Webアプリケーションシステムに存在する情報漏えいや改ざんといった様々なリスクを調査するサービスです。

サービスの内容

Webアプリケーション診断は、手動診断をメインとし、網羅性や機械的なテストを実現するため独自の補助ツールを組み合わせて疑似攻撃を行い、Webアプリケーション上の脆弱性を調査するサービスです。

一般的にWebアプリケーションは、お客様ごと個別に構築されているケースが殆どで、お客様環境によって要件や実装、環境が異なります。そのため、発生するWebアプリケーション上の脆弱性(バグ)はシステム固有のものが多く含まれます。これらの多くは0day(未公開のバグ)と呼ばれ、正しく検出するためには技術と経験が必要となります。弊社のWebアプリケーション診断は2001年から他社に先駆けてスタートしており、豊富な手動診断の経験と技術力で、ツールによる診断では検出できないような問題も多数報告しています。

先行研究

研究成果：SAIVAS

Webアプリケーションの特徴

高いWebアプリケーション診断能力: MBSDのWebアプリケーション診断サービスは2001年から他社に先駆けてスタートし、豊富な手動診断の経験と技術力を保有しています。

豊富な診断実績: 2,000サイト以上、80,000リクエスト以上の診断実績(2017年4月～2020年3月実績)

多数の脆弱性発見実績: 新たな脆弱性(0day)や脆弱性を検出する手法に関するドキュメントの公開などを行っています。
技術ドキュメントはこちらで公開しています。

多数の脆弱性発見実績: JPCERT/CCとIPAが共同で運営するJVN（Japan Vulnerability Notes）への脆弱性報告の公表において、新たな脆弱性(0day)を累計200件以上も報告しています。未知の脆弱性を発見する高いスキルを持つセキュリティエンジニアが弊社に多数在籍しています。

CVE番号	問題概要	CVSSv3基本値
CVE-2019-6033	クロスサイトスクリプティング	6.1
CVE-2019-6034	スクリプトインジェクション	6.1
CVE-2019-6011	クロスサイトスクリプティング	6.1
CVE-2019-6012	SQL インジェクション	7.2
CVE-2019-6016	クロスサイトスクリプティング	6.1
CVE-2019-6017	情報漏えい	5.3
CVE-2019-6009	入力値検証不備	4.7
CVE-2019-6003	クロスサイトスクリプティング	6.1
CVE-2019-5965	オープンリダイレクト	4.7
CVE-2019-5966	セッション管理不備	5.4
CVE-2019-0188	XXE	5.8
CVE-2019-5934	SQL インジェクション	6.0
CVE-2019-5945	情報漏えい	5.3
CVE-2018-16169	任意のファイルをアップロード可能	8.8
CVE-2018-16170	ディレクトリトラバーサル	9.6
CVE-2018-16171	ディレクトリトラバーサル	7.5
CVE-2018-0666	クロスサイトスクリプティング	4.3
CVE-2018-0657	クロスサイトスクリプティング	6.1
CVE-2018-0658	入力値検証不備	3.8
CVE-2018-1147	クロスサイトスクリプティング	6.1
CVE-2018-0585	クロスサイトスクリプティング	5.4
CVE-2018-0586	ディレクトリトラバーサル	5.0
CVE-2018-0587	任意のファイルアップロード	5.3
CVE-2018-0588	ディレクトリトラバーサル	7.2
CVE-2018-0589	アクセス制限不備	4.3
CVE-2018-0590	アクセス制限不備	4.3
CVE-2018-1142	クロスサイトスクリプティング	5.4
CVE-2018-0514	OSコマンドインジェクション	5.6

主な診断項目

診断項目	詳細
通信
HTTPSの適用有無 HTTPSの適用範囲(機能)	・HTTPSの未使用/適用漏れ
認可
認可処理の有無/認可方法認可処理の適用範囲	・認可制御の欠如・不正なパラメータ操作による越権・不正な画面遷移による越権
セッション
セッション管理方法セッションIDの設計セッションIDの生成/再生成/破棄 Cookieの生成/破棄 Cookieの用途画面遷移の管理/監視有無	・セッションハイジャック・セッションフィクセーション・セッションIDの漏えい・Cookie発行時の不備(Secure) ・Cookie発行時の不備(httpOnly) ・クロスサイトリクエストフォージェリ
入力
入力値の形式入力値の検証有無/検証方法入力値の用途入力値の取扱いアップロード処理の有無と挙動	・入力値検証の回避・SQLインジェクション・ディレクトリトラバーサル・OSコマンドインジェクション・HTTPヘッダインジェクション・不正なファイルアップロード・バッファオーバーフロー・その他の各種インジェクション
出力
コンテンツの生成方法値の出力有無/出力形式/出力箇所例外発生時の挙動	・クロスサイトスクリプティング・不要なエラーメッセージの出力・不要な情報の出力(HTMLコメント)
サイトデザイン
設計/仕様上の問題機能の悪用可否クロスオリジンのアクセス制御設定	・オープンリダイレクト・サーバサイドリクエストフォージェリ・不正なパラメータ操作・ビジネスロジックに関わる不備・不要な情報の出力・デバッグ機能の残存・JavaScriptハイジャック
Webサーバ/フレームワーク
製品/ソフトウェアの設定公開コンテンツ	・バージョン情報の出力・ローカルIPアドレスの出力・不要なHTTPメソッドが有効・コンテンツの公開設定不備・ディレクトリインデックス

サービス提供フロー

事前準備

お客様ご指定のWebサイトに対して巡回作業を実施
巡回の結果をもとに診断対象範囲を決定

脆弱性診断

巡回結果をもとに策定したスケジュールにて診断作業を実施
診断ツールによる効率の良い診断、およびセキュリティエンジニアによる手動診断を実施

分析・評価

検出された脆弱性の分析・評価
脆弱性が悪用された場合の脅威、影響度などを分析・評価
診断結果報告書の作成

診断結果の報告

診断結果報告書の納品
お客様への診断結果報告会を実施
診断結果（脆弱性、脅威、影響度など）に関する質疑応答

COLUMNコラム

診断項目	詳細
通信
HTTPSの適用有無 HTTPSの適用範囲(機能)	・HTTPSの未使用/適用漏れ
認可
認可処理の有無/認可方法認可処理の適用範囲	・認可制御の欠如・不正なパラメータ操作による越権・不正な画面遷移による越権
セッション
セッション管理方法セッションIDの設計セッションIDの生成/再生成/破棄 Cookieの生成/破棄 Cookieの用途画面遷移の管理/監視有無	・セッションハイジャック・セッションフィクセーション・セッションIDの漏えい・Cookie発行時の不備(Secure) ・Cookie発行時の不備(httpOnly) ・クロスサイトリクエストフォージェリ
入力
入力値の形式入力値の検証有無/検証方法入力値の用途入力値の取扱いアップロード処理の有無と挙動	・入力値検証の回避・SQLインジェクション・ディレクトリトラバーサル・OSコマンドインジェクション・HTTPヘッダインジェクション・不正なファイルアップロード・バッファオーバーフロー・その他の各種インジェクション
出力
コンテンツの生成方法値の出力有無/出力形式/出力箇所例外発生時の挙動	・クロスサイトスクリプティング・不要なエラーメッセージの出力・不要な情報の出力(HTMLコメント)
サイトデザイン
設計/仕様上の問題機能の悪用可否クロスオリジンのアクセス制御設定	・オープンリダイレクト・サーバサイドリクエストフォージェリ・不正なパラメータ操作・ビジネスロジックに関わる不備・不要な情報の出力・デバッグ機能の残存・JavaScriptハイジャック
Webサーバ/フレームワーク
製品/ソフトウェアの設定公開コンテンツ	・バージョン情報の出力・ローカルIPアドレスの出力・不要なHTTPメソッドが有効・コンテンツの公開設定不備・ディレクトリインデックス