◎ | 標準的で網羅的な検査 |
---|---|
○ | 簡易的な検査 |
△ | 検査不可の場合有(ソースコード診断をお勧め) |
□ | ツールによるスキャンのみ |
カテゴリ | 診断項目 | エクスプレス | スタンダード | プレミアム |
---|---|---|---|---|
パラメータ操作 | クロスサイト・スクリプティング(XSS) | □ | ◎ | ◎ |
SQLインジェクション | □ | ◎ | ◎ | |
HTTPヘッダ・インジェクション | □ | ◎ | ◎ | |
メールヘッダ・インジェクション | ◎ | ◎ | ||
OSコマンド・インジェクション | □ | ◎ | ◎ | |
ディレクトリ・トラバーサル | □ | ◎ | ◎ | |
evalインジェクション | △ | ◎ ※1 | ||
ファイルインクルード攻撃 | ○ | ◎ | ||
オープンリダイレクタ | □ | ◎ | ◎ | |
リファラからの情報漏洩 | ◎ | ◎ | ||
XML外部実態参照(XXE) | ◎ | ◎ ※2 | ||
安全でないデシリアライゼーション | ○ | ◎ ※1 | ||
コンテンツ | 公開ディレクトリチェック | ○ | ◎ | |
ディレクトリ・リスティング | □ | ◎ | ◎ ※3 | |
強制ブラウジング・不要なファイルの公開 | ○ | ◎ | ||
キャッシュ制御 | ○ | ◎ | ||
ファイル アップロード・ダウンロード |
アップロード機能の不備 | ○ | ◎ | |
ダウンロード機能によるXSS | ○ | ◎ | ||
ユーザーの意思に反した 機能実行 |
クロスサイト・リクエスト・フォージェリー(CSRF) | □ | ◎ | ◎ |
クリックジャッキング | □ | ○ | ◎ | |
通信暗号化 | SSL設定不備 | ○ | ◎ | |
SSL使用状況 | ○ | ◎ | ||
クッキーのセキュア属性不備 | □ | ○ | ◎ | |
セッション管理 | セッションID使用状況 | □ | ◎ | ◎ |
Cookie使用状況 | □ | ○ | ◎ | |
ログアウト機能 | ○ | ◎ | ||
セッションIDの固定化 | □ | ◎ | ◎ | |
認証 | ユーザー認証処理 | ○ | ◎ | |
アカウントロック機能 | ◎ | ◎ | ||
自動ログインの不備 | ○ | ◎ | ||
アクセス制御・認可 | アクセス制御不備 | ○ | ◎ | |
認可不備 | ◎ | ◎ | ||
アカウント管理 | パスワードの仕様 | ◎ | ◎ | |
パスワードリマインダの不備 | ○ | ◎ | ||
アプリケーション | エラー処理状況 | □ | ○ | ◎ |
ロジック流出 | △ | ◎ ※1 | ||
バックドア、デバックオプションの存在 | △ | ◎ ※4 | ||
不十分なロギングおよび監視 | ○ ※5 | |||
仕様の不備 | セキュアな実装についての指摘 | ○ | ◎ |
※1:オプションのソースコード確認ありの場合
※2:オプションのソースコード確認ありの場合、より詳細な診断が可能です。
※3:サーバー内のデータ暗号化も確認します。
※4:診断の項目としてポートスキャンなども併用します。
※5:ヒアリングが必要です。