ウェブアプリケーション、ネットワーク(Wi-Fiを含む)、スマート端末のサーバーまで、お客様のITネットワークシステムの脆弱性を検知し、 サイバー攻撃から守る総合的なペネトレーションテストを提供します。
弊社のネットワークセキュリティ専門スタッフは、お客様のITシステムの特徴を詳細まで把握した上で、攻撃者の視点で実施計画を立て、一番効果的かつ効率的な手法でペネトレーションテストを実施します。
セキュリティ上の規制・ガイドラインに準拠
弊社のセキュリティサービスは、政府のセキュリティガイドラインに準拠しており、監査に対応可能です。
スクリプトの挿入の可否を確認します。可能であると判明した場合、悪意のあるスクリプトがウェブサーバーに侵入できることを示します。そうしたスクリプトが侵入すると、スクリプトがクライアントのウェブブラウザで実行されます。これにより、攻撃者がクライアントのクッキー情報を盗み、他人になりすましてログインするリスクがあるということがわかります。
データベースが違法に操作される可能性を調べるため、SQLコマンドの使用可否を確認します。もしデータベースにSQLインジェクションが可能な場合、保存されたプロセスへの認証されていないアクセスと外部プログラムの違法な呼び出しが可能であることを示します。その結果、個人情報へのアクセス(情報漏洩)、変更(情報の改ざんまたは紛失)、認証されていないアクセスとサーバー上の恣意的なコマンドが行われるリスクがあることがわかります。
ウェブアプリケーションのセッション管理に問題がないか確認します。もしセッション管理に使用されている情報が推測できる場合、認証が必要なページに認証がなくてもアクセスできる、または、他人になりすましてログインできることを示します。その結果として、個人情報へのアクセス(情報漏洩)、認証されていないアクセスで情報を変更される(情報の改ざんまたは紛失)リスクがあることがわかります。
認証されていないアクセスが認証プロセスをすり抜けることができるか調べます。もしすり抜けることができる場合、本来のユーザーになりすました不正ログインによってシステムに違法にアクセスできることが明らかになります。その結果、個人情報へのアクセス(情報漏洩)、認証されていないアクセスで情報を変更される(情報の改ざんまたは紛失)リスクがあることがわかります。
共通バックアップファイルの存在を確認し、そのデータファイルがウェブアプリケーションのURLと一致するかを確認します。問題が見つかった場合、ハッキングの標的となった際に、ウェブアプリケーションに保管されている個人情報を含むユーザーの重要な情報が、認証されていないアクセスで盗まれる可能性があることを示します。
メタ文字の注入またはSSIを使って恣意的なOSコマンドを実行することができるか調べます。もし可能とわかった場合は、ウェブサーバーのOSがコントロールされていることを示し、攻撃を受けた際に、ウェブサーバーのパスワードファイルの盗難や管理者権限の悪用につながる可能性があることを示します。
・ バックドア型ウイルス、トロイの木馬
・ ブルートフォースアタック
・ CGI
(コモンゲートウェイインターフェイス)
・ DNS
(ドメインネームシステム)
・ データベース
・ ファイル転送プロトコル
(FTP)
・ フィンガー
・ 一般的な遠隔サービス
・ ネットワーク・アプライアンス
・ 情報集約
・ ローカルコンピュータ
・ メール
・ NFS
(ネットワークファイルシステム)
・ NNTP
(ネットワークニューストランスファープロトコル)
・ プロキシ
・ RPC
(リモートプロシージャコール)
・ SMB / NETBIOS
・ SNMP
(シンプルネットワークマネジメントプロトコル)
・ TCP/IP
・ ウェブ
・ ウィンドウズ
Contact
株式会社INSURE TECH INDUSTRIESにご興味をお持ちいただきまして、ありがとうございます。
案件のご相談やお見積依頼などはすべてこちらのフォームからお問い合せください。