Web网站应用系统诊断

发现Web网站应用系统潜在的安全问题,提供最适当的对策实施支援。

对于Web网站应用系统的实现方式、开发语言、使用的平台等进行考虑,相关的各种各样的项目进行诊断,检测对威胁客户的业务安全性的主要原因的对策是否适当?

主要由经验丰富的专家采用手动方式(通过手册)进行诊断作业,同时辅助利用一部分的诊断工具。基于这个方法,即使是用户独自开发的应用系统,也能够发现潜在的安全问题。

另外,对于发现的问题,能够对于具体的对策方法进行建议,并能够对于适当的对策实施进行支援。

【主要的诊断项目】 * 用户认证方式的检查 检测是否存在可避开用户认证进行登陆的危险性,抵抗针对用户名、密码的推测等攻击的强度是否足够等 * Session管理方式的检查 检测是否存在可以通过会话劫持伪装成为其他用户登录的危险性,cookie的设定是否恰当等 * 事务(transaction)处理的检查检测是否存在越权使用的危险性,是否存在通过非法执行操作、数据输入等对系统进行恶意使用的危险性等 * 跨站脚本攻击、SQL指令注入攻击对策的检查 检测是否对用户输入的数据进行了充分有效的检查、在数据库中是否存在可以进行非法操作的危险性 * 加密方式的检测 检测重要信息是否被加密后发送,加密的强度是否充分等。 * 保障用户使用安全的设置的检查 检测是否能够有效防止网站钓鱼欺诈,网站设置是否可以让用户安心使用等 * 对于XML处理固有的安全问题的对策的检查 对于利用SOAP的Web服务等、使用XML的应用程序的诊断情况下,检测XML处理固有的安全问题的对策是否正确。

回到页首