脆弱性診断サービス

Nothing lasts forever.
We find risks before they are destroyed.

サービスの特徴

アプリケーションやサーバに対して
疑似的な攻撃を行い、リスクを洗い出します。
当社は主に手動診断を得意としています。
認証や権限、ビジネスロジックを中心として
仕様や技術スタックに応じて診断内容を設計します。


診断可能な対象

Webアプリケーション


Webアプリケーションに対して検査を行い、脆弱性を検出します。サーバサイドとフロントエンドの両面から検査を行います。

スマートフォンアプリケーション


iOS / Androidアプリケーションに対して検査を行い脆弱性を検出します。各プラットフォーム固有の検査やAPIの検査を行います。

プラットフォーム


サーバや社内ネットワーク内に接続されている端末に対して検査を行い脆弱性を検出します。ポートの開放状況やOS・ミドルウェアの検査を行います。

検出される脆弱性の例

認可制御の不備

権限を越える不正な操作を確認します。画面上では呼び出すことができない機能を直接呼び出して実行できないか、権限にあたるパラメータを改ざんして上位権限の機能が実行できないかを確認します。

不正な決済や決済機能の不備

不正な決済の実行や決済フロー上の不備を確認します。アプリケーションで利用している決済方法に応じて決済の回避や一度しか利用できない決済用の情報の再利用・クーポン機能の悪用などを確認します。
例えば、クレジットカードによる決済ではカード情報が非保持化されていることやトークンの不正利用、スマートフォンアプリにおけるアプリ内課金(IAB / IAP)の場合はレシートの不正利用を確認します。

アップロード機能の不備

ファイルのアップロード機能を起点とした問題を確認します。ファイルのアップロード機能は複雑になることが多いため、あらゆる攻撃の可能性を検討し診断を設計します。
例えば、ファイル名やファイルの内容に攻撃文字列を含めることでXSSやSQLインジェクション、Web Shellによる任意コード実行ができないか、アップロードしたファイルが不正に上書き・閲覧ができないかも確認します。S3やGCSのようなクラウドストレージをアップロード先として選択している場合はクラウドストレージ特有の権限の設定の不備により不正にファイルの上書きや閲覧ができないかを確認します。

各プラットフォーム固有の脆弱性

診断対象のプラットフォーム特有の問題を確認します。対象がGraphQLを使用している場合、GraphQL特有の脆弱性を確認する必要があります。
スマートフォンアプリケーションを対象とする場合は、iOS / Androidアプリケーション特有の脆弱性を確認します。
例えば、クライアントアプリケーション側にロジックが記述されている場合は、メモリ改ざんやアプリの改ざんによって脆弱性が発生する場合があります。また、カスタムスキーマなど、スマートフォンアプリケーション特有の仕組みによる脆弱性も確認します。

脆弱性診断の流れ

1. お問い合わせ

contact@sterrasec.com まで診断希望の旨をメールでご連絡ください。
回答いただける範囲で問題ありませんので診断対象やご希望の診断内容をお伝えください。
ヒアリング前にNDAの締結が必要な場合は併せてお伝えください。

2. ヒアリングとお見積り

診断対象とご希望する診断内容について伺い、
質疑応答を交えながら診断の方針を決定します。
診断内容の決定では診断対象に適切な診断方法の選択、診断範囲のアドバイスや診断を複数回に分割しての実施などお客様にとって効果的な診断を提案します。

3. 契約

お見積りの内容にご納得いただけましたら契約書を締結します。

4. 診断の準備

診断に必要な情報を提供していただきます。
対象のアプリケーションやアカウント情報等の準備をお願いします。

5. 診断の実施

事前に合意した診断日程で診断を進めます。
診断中にリスクが大きいと想定される脆弱性を検出した場合は即座に報告します。

6. 報告書の作成と納品

診断結果をもとに報告書を作成し納品します。

FAQ

Q. 診断の強みはなんでしょうか?

当社の診断員は事業会社内での豊富な脆弱性診断経験があります。
事業の文脈を踏まえながら診断対象を深くまで診ることを得意としています。

Q. 初めての診断ですが、どのように進めれば良いでしょうか?

脆弱性診断が初めての方向けに、ヒアリングのタイミングで事業会社における脆弱性診断の進め方について解説することも可能です。
当社はお客様の目的達成のために診断をサポートいたします。

Q. 脆弱性診断は手動診断で行いますか?

診断のメインは手動診断です。ツールが効果的に利用できる部分でのみ手動診断の補助としてツールを活用します。

Q. 診断員の実績を確認できる資料はありますか?

メンバーのプロフィールページや「社員が報告した脆弱性」を紹介しているページから実績を確認できます。

お問い合わせ

ご依頼やご相談は下記メールアドレスまで
ご連絡をお願い致します。

contact@sterrasec.com