セキュリティ オプション対策
ウェブアプリ脆弱性スキャン
ウェブ脆弱性とは、ウェブアプリケーション上に存在するセキュリティホールで、問題箇所を攻撃され ることにより、本来意図していない動作を実行される可能性があるものを言います。ウェブ脆弱性を攻撃されると、システムを乗っ取られ、機密情報の漏洩、ス パムメール送信・フィッシングサイトの踏み台、ホームページの不正書き換えなどの被害に遭うことになります。
システムが古いままで最新のセキュリティ対策を実施していない phpやperlなどによる掲示板、お問い合わせフォーム、ショッピングカートなどは、脆弱性が存在する可能性が高いと思われます。既に脆弱性を密かに悪 用されている可能性さえあります。巧妙に偽装された悪質なファイルが作成されているかも知れません。知らない間に他者に迷惑をかけていることもあります。 こうしたことがないように、定期的な自サイトのセキュリティチェックが必要です。
ウェブ脆弱性スキャンサービス
ウェブ脆弱性スキャンサービスでは、代表的な脆弱性である「クロスサイト・スクリプティング」「SQLインジェクション」「OSコマンド・インジェ クション」「HTTP(メール)ヘッダー・インジェクション」などの有無をチェックします。
スキャンはお客様のウェブデータをコピーして、テストサーバー環境を別途構築し、本番環境には影響させずに実施します。そこでは実際の攻撃を想定して、様々な方面から様々な方法によりテストを行います。
そして、脆弱性が発見された場合には、その内容をリポートします。お客様はそのリポートに基づき脆弱性の除去を行ない、より安全なウェブ運営を行なっていただ けます。
・クロスサイトスクリプティング(反射型)
・SQLインジェクション
・CRLF インジェクション
・パラメータタンパリング
・パストラバーサル
・等々
脆弱性を狙った攻撃例
以下に攻撃方法のサンプルを掲載します。脆弱性があるとどのような危険があるか、実際に見て確認してください。これらはあくまで一例で、実際には 様々な攻撃方法が考えられます。ご覧いただくには、W3Labユーザーとしてのログインが必要です。ブラウザのセキュリティレベル設定によっては、サンプ ル表示がブロックされることがあります。(現在サンプル掲載停止中です)
(これらの手法を用いた他サイトへのアクセスは、法律で厳しく禁止されています。自分が運営しているサーバー以外に対しては、絶対に実行してはいけません)
- お問い合わせフォーム乗っ取り(XSS クロスサイト・スクリプティング)
- ログイン認証回避(SQLインジェクション)
ログイン認証にデータベースを利用している場合で、入力されたユーザー名やパスワードのセキュリティチェックを怠っていると、認証を回避されることがあります。また、データベースの内容を書き換えられたり、削除される可能性もあります。
「サンプルを見る」 - OSコマンド不正実行(OSコマンド・インジェクション)
ユーザー入力内容を浄化しないでそのままシステムコマンドに渡していると、任意のOSコマンドを実行される危険性があります。ファイルの修正や削除、任意の悪質なファイルを作成されたり、データの流失、改竄などの大変危険な状態です。
「サンプルを見る」 - メール不正送信(メールヘッダインジェクション)
ユーザー入力を浄化しないで、そのままメール送信アプリケーションに渡していると、不正送信に利用される危険性があります。大量スパムメール送信に利用されたり、上記例のような攻撃に悪用されることもあります。
「サンプルを見る」
オプション料金(税抜)
・ウェブアプリ脆弱性スキャン(お試し): 50,000円/1回
(ウェブデータ合計2GBまで。それ以降10,000円/1GB)
・ウェブアプリ脆弱性スキャン(ベーシック): 100,000円/1回
(ウェブデータ合計5GBまで。それ以降10,000円/1GB)
・ウェブサイトログ検出オプション: 10,000円/1回
(ウェブ、FTPログから攻撃の痕跡、攻撃成功の可能性を確認します)
対象サーバープラン
・MultiBiz
・ProBiz
注)このサービスは、脆弱性や改ざんの有無などを100%検出することを保証するものではありません。また、脆弱性の可能性を報告するもので、またその改善を弊社において実施するものでもありません。お試しプランは、スキャン項目、レポート項目がベーシックと比べ簡易なものとなります。
