ペネトレーションテスト-Webアプリケーション侵入試験|サイバーセキュリティ.com

ペネトレーションテスト-Webアプリケーション侵入試験



こんな悩みをお持ちのお客様にお勧めのサービス

  • 毎日ネットで情報漏洩が話題になるけど、うちとは関係ないよね?一度ハッカーにチャレンジさせてみるか!
  • うちのWebサイトの安全性は大丈夫だろうか? リスク評価をしてみたい!
  • 毎年診断をしているけど・・結果が同じでいいのかな? 別な視点から検査をしてみたい!
  • 専門業者によるセキュリティ診断を受けたことが無いけど・・ 現状を確認してみようか!

arrow.png

アルファネットなら

アルファネットは、2000年に診断サービスをスタートした時から、脆弱性を検出するだけではなく、その脆弱性の使い方によるリスクを考え評価を実施してきました。この長年培ったハッカー目線と高度なハッキングの技術で「情報漏洩」「改ざん」「サービス妨害」ことを目標にするサービスをスタートします。今までの診断では、脆弱性を網羅的に検査する事を目的とし、IPAに準拠した基準で評価を実施していました。ペネトレーションテストでは、内包する脆弱性によりどこまでの情報が持ち出されるのか、改ざんや踏み台にされる事があるのかなど検証し実際のリスクを確認することができます。今やWebサイトは、大切なビジネスツール!一度リスク評価することをお勧めします。

ペネトレーションテストとセキュリティ診断の比較

ペネトレーションテスト

対象のシステムに対して、攻撃者が情報搾取や改ざん、妨害などの攻撃が達成できるか検証する事を目的としています。目的達成のため脆弱性の検査や実行可能な攻撃コードの検証を実施します。

セキュリティ診断

お客様のITシステムに潜むセキュリティ脆弱性の有無を網羅的に調査し洗い出すことを目的としています。一定のセキュリティ規格を基準に脆弱性の場所や危険内容、危険度合い、セキュリティ上の注意点を含め検査を実施します。

ペネトレーションテスト・セキュリティ診断比較表

ペネトレーションテスト セキュリティ診断
目的

攻撃者の目的(情報搾取や改ざん、妨害など)が達成できるか検証

目的達成のための脆弱性の検査や実行可能な攻撃コードの検証

脆弱性を網羅的に洗い出し検査
評価 実際のサイバー攻撃同様に、目的の攻撃が達成できるか検証 IPAなどのセキュリティ規格を基準に検査・分析・評価
報告 シナリオと攻撃検証結果・システムリスク評価 個々の脆弱性に対する危険度評価とリスト化
網羅性 なし あり
スキル 脆弱性の活用 脆弱性の指摘

実施フロー

①打合せ準備

  • サイトの種類の確認と攻撃時期の調整
  • 攻撃対象30リクエストの選定
  • 攻撃実施レベルの確認
  • 奪取可能な情報・改ざん可能なページの有無・サービス妨害可否などの確認

② ハッキングのスタート(アルファネット)

  • 調査、対象ページから脆弱性や挙動の怪しいページを選び出す
  • ブリーフィングにて攻撃方法の決定し「情報漏洩」「改ざん」「サービス妨害」でシナリオを作成
  • 攻撃用脆弱性の検出
  • 攻撃スクリプト及びパラメータの作成とツールの調整と攻撃準備

    d001_img3.png

  • 攻撃実施による目標の達成!

③ 考察及び分析(アルファネット)

  • 攻撃成功までのエビデンスと作業中に確認した脆弱性エビデンスの作成
  • 整理リスク評価の実施
  • 報告書作成

④報告

  • 報告書のご提出
  • ご希望の場合は、攻撃の再現(脆弱性等の状況によります)
  • 対策方法へのアドバイス

image004.png

アルファネットのペネトレーションテストの特徴

Webサイトに特化した事で、高品質を維持したままリーズナブルな価格のペネトレーションテスト実現

アルフェネットのペネトレーションテストは、調査・攻撃・達成を1サイクルと考えテストを実施します。その為、サイトの規模に関係なく機能レベルなどから30リクエスト程度を選定し、リスク評価するため安価で分かりやすい料金形態を実現しました。

site.PNG

大きなビジネスインパクトに結び付く攻撃シナリオの作成

単に、攻撃を実施して成功させる視点ではなく、お客様にとってリスクの大きな攻撃は何かを考え想定し攻撃目標に設定します。IPAから出ている「情報漏洩」「改ざん」「サービス妨害」から、よりインパクトの大きい攻撃シナリオをブリーフィングにて決定し達成を目指します。

ビジネスインバクトの高い脆弱性(危険度:Critical)の例

NO. 利用する脆弱性 カテゴリ 攻撃シナリオ
1 SQLインジェクション

情報漏洩 データベース内に保存されている個人情報を奪取
2 改ざん データベース内の商品価格データを改ざん
3 妨害 データベース内の商品データを削除
4 OSコマンドインジェクション

情報漏洩 Webサーバ内のパスワードファイルを取得
5 改ざん Webサーバの公開ディレクトリにあるコンテンツを改ざん
6 妨害 Webサーバのサービス停止
7 ディレクトリトラバーサル 情報漏洩 Webサーバの非公開ファイルへアクセスし機密情報を取得
8 認可制御の不備、欠落

情報漏洩 他の利用者の個人情報を取得
9 改ざん 他の利用者の登録メールアドレスを変更
10 認証制御の不備、欠落 情報漏洩 ログイン認証回避
11 クロスサイトスクリプティング 改ざん スクリプトを埋め込み、利用者を強制的にフィッシングサイトへ誘導
12 Webアプリケーションロジックの問題 改ざん 価格を改ざんして商品を購入
13 妨害 一部のサービスを無効化

影響度(Impact)、悪用可能性(Exploitability)の2つの視点からリスク評価を実施

影響度と悪用可能性から総合的にリスク判断をします。
– 影響度: 機密性、完全性、可用性などの側面から経済的損失に結びつくレベル
– 悪用可能性: 攻撃に必要とされる情報、環境面による悪用のしやすさのレベル

報告書サンプル

お問い合わせ

    法人名・団体名 必須

    お名前 必須

    メールアドレス 必須

    電話番号 必須

    お問い合わせ内容 任意

    SNSでもご購読できます。