診断項目
Webアプリケーション診断/ソースコード診断
| 認証系 | ・総当たり攻撃 | ・不適切な認証 | ・脆弱なパスワード | |
|---|---|---|---|---|
| 承認系 | ・証明書とセッションの推測 | ・不適切な承認 | ・不適切なセッション期限 | ・セッションの固定 |
| クライアント側での攻撃 | ・コンテンツの詐称 | ・クロスサイトスクリプティング | ||
| コマンド実行 | ・バッファオーバーフロー | ・書式文字列攻撃 | ・LDAPインジェクション | ・OSコマンド実行 |
| ・SQLインジェクション | ・SSIインジェクション | ・Xpathインジェクション | ||
| 情報公開 | ・ディレクトリ一覧の表示 | ・システム情報の漏洩 | ・パスの乗り換え | ・推測可能なリソースの位置 |
| ロジックを狙った攻撃 | ・機能の悪用 | ・サービス拒否 | ・不適切な実行プロセス | |
| 機密データの漏出 (ソースコード診断のみ対応) | ・パスワード、クレジットカード、健康記録、個人情報が暗号化されていること | ・強度の高い標準の暗号化アルゴリズムを使用していること | ||
| ・パスワードが強い標準のアルゴリズムでハッシュ化し適切なソルト化の実施をしていること | ||||
プラットフォーム診断
| 不正侵入 | ・不正ログイン | ・リモートからのプログラム実行 | ・権限の奪取 | ・アクセス制御の不備 |
|---|---|---|---|---|
| ・バックドアプログラムの存在 | ||||
| サービス妨害 | ・サービス妨害・停止 | ・Dos攻撃 | ||
| 情報漏洩 | ・不要なサービス | ・サーバプログラムのバージョン取得 | ・設定不備によるシステム情報漏洩 | ・既知の脆弱性による情報漏洩 |
スマートフォンアプリケーション診断(Android/iOS)
| 設定調査 | ・アプリケーション設定ファイル診断 | ・プライバシー情報アクセス利用権限の設定診断 | |
|---|---|---|---|
| 脆弱性調査 | ・ライブラリ、フレームワークの既知の脆弱性調査 | ||
| 情報漏洩 | ・なりすまし診断(認証方法・セッション情報管理) | ・機密情報漏洩診断(端末内データ情報) | ・機密情報漏洩診断(外部サーバ通信情報) |
| 機能の不正利用 | ・HTML表示の脆弱性(WebView)診断 | ・アプリケーション連携機能不正利用診断 | ・アプリ内課金不正利用診断 |
