セキュリティ監査（Ｗｅｂアプリケーション検査）NetAudit：セキュアヴェイル

外部（インターネット経由）または内部（オンサイト）からＷｅｂサーバに対し、アプリケーションにまつわる脆弱性検査を実施します。

STEP1：検査ページの洗い出し

Ｗｅｂサイトの各ページから、検査対象となるページを洗い出します。入力フィールドを持つページなど、バックエンドでプログラムが起動する動的なページが検査対象となります。もちろん、お客様に検査対象ページをご指定いただくことも可能です。

STEP2：Ｗｅｂアプリケーション検査の実施

「検査ページの洗い出し」で選定されたページを対象に、専用検査ツールと手動検査を組み合わせて、Ｗｅｂアプリケーション検査を実施します。
検査ツールはあくまでも検査を効率的に行うための道具と位置付け、セキュリティ・エンジニアの手動検査によって、網羅かつ的確な検査を実施します。

欠陥の分類	検査項目
セッション管理に関する欠陥	アクセス制御の欠如ファイルに対するアクセス制御の欠如ユーザ識別の欠如 ID空間の小さすぎるセッション追跡パラメータの使用規則的なセッション追跡パラメータの使用推測可能なセッション追跡パラメータの使用 URLパラメータによるセッション追跡外部サイトへのリンクでセッション追跡パラメータが Referer として漏えいする cookieによるセッション追跡 TRACEメソッドによるAuthorizationヘッダ漏えいの可能性暗号化されないアクセスに個人情報が含まれる暗号化されないアクセスにセッション追跡パラメータが含まれる暗号化されないページへのリンクでのセッション追跡パラメータ Referer 送出暗号化されないページへのリンクでのセッション追跡用 cookie 平文送出セキュアでないcookieの使用 http上のログイン画面ルートフレームがhttpにあるサブフレーム上のログイン画面異なるセッションで同一セッション追跡パラメータの使用永続的cookieの使用ログアウト機能の欠如ログアウト後のサーバセッションの残存サーバセッションの長時間にわたる残存クレジットカード番号の表示パスワードの出力再認証などWebProbe対象外の脆弱性
その他の一般的な欠陥	アクセス制御の欠如パラメータの改ざん Hiddenフィールドの不正操作クロスサイトスクリプティング（XSS) バッファオーバーフローシェルコマンド・インジェクション OSコマンド・インジェクション SQLインジェクション強制ブラウジングサードパーティ製品の設定ミス既知の脆弱性バックアップファイルの検出バックドアとデバッグオプション HTML中のコメントディレクトリトラバーサル不適切なエラーハンドリング

欠陥の分類

検査項目

セッション管理に関する欠陥

アクセス制御の欠如
ファイルに対するアクセス制御の欠如
ユーザ識別の欠如
ID空間の小さすぎるセッション追跡パラメータの使用
規則的なセッション追跡パラメータの使用
推測可能なセッション追跡パラメータの使用
URLパラメータによるセッション追跡
外部サイトへのリンクでセッション追跡パラメータが Referer として漏えいする
cookieによるセッション追跡
TRACEメソッドによるAuthorizationヘッダ漏えいの可能性
暗号化されないアクセスに個人情報が含まれる
暗号化されないアクセスにセッション追跡パラメータが含まれる
暗号化されないページへのリンクでのセッション追跡パラメータ Referer 送出
暗号化されないページへのリンクでのセッション追跡用 cookie 平文送出
セキュアでないcookieの使用
http上のログイン画面
ルートフレームがhttpにあるサブフレーム上のログイン画面
異なるセッションで同一セッション追跡パラメータの使用
永続的cookieの使用
ログアウト機能の欠如
ログアウト後のサーバセッションの残存
サーバセッションの長時間にわたる残存
クレジットカード番号の表示
パスワードの出力
再認証などWebProbe対象外の脆弱性

その他の
一般的な欠陥

アクセス制御の欠如
パラメータの改ざん
Hiddenフィールドの不正操作
クロスサイトスクリプティング（XSS)
バッファオーバーフロー
シェルコマンド・インジェクション
OSコマンド・インジェクション
SQLインジェクション
強制ブラウジング
サードパーティ製品の設定ミス
既知の脆弱性
バックアップファイルの検出
バックドアとデバッグオプション
HTML中のコメント
ディレクトリトラバーサル
不適切なエラーハンドリング