Webアプリケーション診断サービス

サーバスキャンではカバーしていないユーザ独自開発のWebアプリケーション(CGI(C、Perl等)、ASP、JSP、Servlet、PHP等)をラック社独自の技法で診断いたします。

• セキュリティ監査サービスにより以下の情報が把握できます。
  
  • 他人になりすましてシステムにログインすることが可能か？
  • 管理者権限を奪うことが可能か？
  • アクセス制御されたリソースに不正にアクセスが可能か？
  • 個人情報など重要なデータにアクセスが可能か？
  • データベースに不正にアクセスが可能か？

検査項目

• クロスサイトスクリプティング検査
  
  • スクリプトの挿入が可能かどうかを手動で接続して検証します。
• セッション管理検査
  
  • スクリプトの挿入が可能かどうかを手動で接続して検証します。
• OSコマンドインジェクション検査
  
  • メタキャラクタの挿入や、SSIを利用したコマンド実行が可能かどうかを手動で接続して検証します。
• SQLインジェクション検査
  
  • SQLコマンドによる不正なデータベース操作が可能かどうかを手動で接続して検証します。
• 認証検査
  
  • 認証を回避して不正なアクセスができるかどうかを手動で接続して検証します。
• その他
  
  • HiddenフィールドやCookieを偽造したりしてアプリケーションに不具合や論理的なエラーが発生しないかどうか検査します。

オンサイト検査結果報告会内容

• 結果報告
  
  • 総評、検出された問題点の情報と対策方法
• 検査項目一覧