Web脆弱性診断の御案内 ビック情報株式会社 診断概要 ネットワーク診断 ☆お客様のネットワークコンポーネント(サーバ、ネットワーク機器)に対して、 疑似攻撃を行い、脆弱性を診断します。 2016/6/7 2 (Copyright(C)2012 Vic Co.,Ltd.All Rights Reserved 診断概要 WEBアプリケーション診断 ☆ Webサイト(アプリケーション)の脆弱性を調査して、システムの堅牢さを診断します。 2016/6/7 3 (Copyright(C)2012 Vic Co.,Ltd.All Rights Reserved 診断項目(その1) 項 目 診断の眼目・目的・狙い アカウント監査 脆弱なパスワード設定 CGI スクリプト脆弱性監査 脆弱性の知られているCGIスクリプトの存在 サーバ証明や暗号化に関する脆弱性監査 不適切なSSL証明書の利用 データベース脆弱性監査 データベースに関連する脆弱性の監査。 FTP サーバ脆弱性監査 FTP/匿名接続 FTPサービス脆弱性調査 LDAP (Lightweight Directory Access Protocol) に関連する監査。 SMTP/不正中継調査 SMTP/EXPN、VRFY調査 SMTPサービス脆弱性調査 POPサービス脆弱性調査 LDAP サーバ監査 メールサーバ脆弱性監査 実施内容 ユーザIDおよびパスワードの複雑度合の監査。 管理者のデフォルトパス ワードのチェック。パスワードのないアカウントや期限切れのアカウント等、 保護されていないアカウント等有無の検査。 CGI とスクリプトに関する脆弱性の監査。/cgi/phf cgiスクリプトのような、セ キュリティ脆弱性を持つCGIスクリプトが存在するか否かを監査。 サーバ認証やサーバ証明書による暗号化の関する脆弱性の監査。認証設 定の不備やSSL証明書内ホスト名のミスマッチ(SSL証明書の妥当性)。認 証期限切れ等。 OracleやMicrosoft SQL Server、IBM DB2、Sybaseといった主なデータベー スの脆弱性の有無やパッチの適用状況、アカウント/パスワード設定や権 限、ロールの設定状況、監査設定といったさまざまなセキュリティ項目を実 施。 FTPサーバとファイル転送プロトコルに関連する脆弱性を検査。 脆弱性(セキュリティホール)が存在しているかを検査。 SMTP、IMAP、POP2、POP3やその他インターネットメールサーバのセキュ リティ脆弱性を検出する監査。 診断項目(その2) 項 目 診断の眼目・目的・狙い 実施内容 NETBIOSプロトコルの脆弱性を検出する監査。リモートのWindows ファイ ル共有内のパーミッション問題を検出する監査。 NetBIOS 脆弱性監査 アカウントポリシーの調査 リモートアクセス脆弱性監査 SMB/アカウント情報収集 SMB/ファイル共有情報収集 SMB/NetBIOS情報収集 SMB/簡易パスワード推測 SSHサービス脆弱性調査 SUNRPC/RPCサービス脆弱性調査 SMB/CIFSサービス脆弱性調査 リモートアクセスエージェントのセキュリティホールの監査。他にSecure Shell サーバの脆弱性を監査。 サーバコントロール監査 脆弱なrpc.statdサーバの存在を調査 サーバコントロールサービスに関連する脆弱性の監査。サーバコントロー ルサービスとは、多くのソフトウェアパッケージで見られる、サービスをリ モートでコントロール、監視する仕組みの監査。 Web サーバ脆弱性監査 DNS脆弱性監査 HTTP(S)/Webスキャン HTTP(S)/WebDAV、FrontPage HTTP(S)/アプリケーションマッピング HTTP(S)/Proxy調査 HTTP(S)サービス脆弱性調査 DNSゾーン転送の可否 DNS再帰的問い合わせの可否 DNSダイナミックアップデートの可否 DoS攻撃脆弱性監査 DoS攻撃に対する耐性検査。 パッケージ ネットワーク/OS推測 バナー監査 サービスパック監査 不要と思われるサービスの稼動 Webサーバ、CGI、HTTPプロトコルに関連する脆弱性の監査。 Domain Name Serviceプロトコルに関する脆弱性チェックや監査。DNSサー バが脆弱性を持っている場合、外部から偽の情報が書き込まれ、悪意の あるサイトへ誘導される場合や、メールが悪意のあるサイトに送信させる攻 撃。 「Slowloris」「Slow Read DoS」攻撃などによる監査。 サード・ベンダーやグループから提供されている、特定のディストリビュー ションのパッケージに関する監査。 稼動中のサービスからの情報取得 ソフトウェアバージョン(バナー情報)を脆弱性のあるものと比較。 エラーメッセージによる情報漏洩 OSやアプリケーションソフトウェアの既知の脆 パッチ(アップデート)の未適用。古いパッケージソフトの利用の監査。 弱性 TELNETサービス脆弱性調査 バックドア検出 等 NTPサービス脆弱性調査 診断料金 サービス品目 数量 単位 作業工数 単価 ネットワーク診断 1 IP 1.0 80,000 WEBアプリケーション診断 1 サイト 1.0 80,000 診断結果報告作成 1 本 1.0 100,000 レビュー&アドバイザリー(報告会) 1 人日 1.0 50,000
© Copyright 2024 Paperzz