診断内容の詳細について
クレジットカード業界のセキュリティ基準 PCIDSS で既定される外部脆弱性診断と同じテスト内容で診断を実施します。
脆弱性ツール診断のデータベースには、13,000 の脆弱性項目と、5,000 以上の攻撃スクリプトが蓄積されていて、日々更新されています。脆弱性ツール診断が提供する診断サービスは、Web アプリケーションだけではなく、ネットワークやデータベースの脆弱性まで診断します。
| カテゴリー | 検査項目例 | 検査項目数 |
|---|---|---|
| DNS サーバー | BIND のバージョン取得など | 約 150 項目 |
| FTP サーバー | FTP 平文認証など | 約 300 項目 |
| Mail サーバー | SMTP 認証など | 約 300 項目 |
| NFS サービス | 不必要な NFS Serverなど | 約 20 項目 |
| Proxy サーバー | F5 BIP-IP の永続クッキーなど | 約 150 項目 |
| RPC サービス | RPC ポートマッパ検出など | 約 70 項目 |
| SQL サーバー | パスワードのない MySQL など | 約 400 項目 |
| SSH サーバー | SSH サーバーバックポートセキュリティパッチなど | 約 100 項目 |
| Webmail サーバー | IlohaMail 検出など | 約 100 項目 |
| ウェブサーバー | サポート対象外のウェブサーバーソフトウェア検出など | 約 1000 項目 |
| サーバーサイド・スクリプト | クロスサイト・スクリプティングなど CGI と FORM 処理の脆弱性(SQL インジェクションを含む) | 約 4200 項目 |
| ネットワークサービス | PPTP の検出など | 約 1200 項目 |
| ネットワークデバイス | TTL Anomaly 検知など | 約 700 項目 |
| バックドア | Windows Terminal Service の検出など | 約 200 項目 |
| ファイアウォール | DNS によるファイアウォールルールの通過(UDP 53番)など | 約 50 項目 |
| ポリシーチェック | Office のファイル一覧など | 約 4000 項目 |
| 情報収集 | GET リクエストによる稼動サービス確認 | 約 90 項目 |
| 暗号化と認証 | 自己署名 SSL 証明書など | 約 250 項目 |
診断ができないページ例
| JavaScript で遷移するページ | 脆弱性ツール診断では、Form タグや A タグで記述されたフォームやリンクをたどりながらクロールしページ情報を取得しています。JavaScript によって遷移するページはクロールできないため診断できません。 たとえば、 <input type="button" onClick="処理">、<a href="...." onClick="処理"> で呼び出され location.href = "リンク先"; で遷移する、など。 同様の理由で JavaScript によりフォーム送信されるページではフォーム送信自体が行えないため診断できません。 |
|---|---|
| 入力チェックなどにより遷移前ページの Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ) | フォームへの入力値を指定することはできない為、Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ)の次ページ以降はクロールで取得できません。 |
| 前ページから引き継がれてきた動的な値をチェックして表示を行うようなページ | たとえば、URL の後ろに「TOKEN=dc123ad64b31006ecc4aad0c13d644c1」のようなリファラ情報が付いてないと遷移できないようなページはクロールできないため診断できません。 |
| Basic 認証+フォーム(ID&Password)認証のように認証情報が 2 つ以上必要とするサイト | 認証情報は 1 つしか設定できません。例えば、Form 認証と Basic 認証などを 2 つ以上重ねて使用しているサイトについては診断できません。 |
| クロスドメイン認証(別ドメインでの認証)を使用しているサイト | フォーム認証は診断対象として設定したドメインの URL のみ設定できる為、別ドメインでの認証は設定できません。例えば、www.company.co.jp を診断対象としているにも関わらず、ログイン時に login.company.co.jp に遷移するサイトでは、ログイン後のページの診断はできません。 |
| POST メソッドでアクセスするページ | クロール開始ページは GET メソッドリクエストで呼び出せる必要があります。 |
| 文字コードが適切に設定されていないページ | 脆弱性ツール診断はデフォルトでは、UTF-8 でデコードした情報でクロールを行っております。このため、UTF-8 以外の文字コードで作られている Web ページで、文字コードが適切に指定されていない場合は、クロール時に文字化けを起こし、正常にクロールできないことがあります。 |
| Cipher Suites を制限しているサイト | 診断サーバー側では一般的によく使用される SSL 通信の設定を使用していますが、診断対象側で使用可能な Cipher suites を絞り込んでいる等の設定をしている場合に、稀に通信ができない事象が発生します。 |
