Web脆弱性診断の御案内

Web脆弱性診断の御案内
ビック情報株式会社
診断概要
ネットワーク診断
☆お客様のネットワークコンポーネント(サーバ、ネットワーク機器)に対して、
疑似攻撃を行い、脆弱性を診断します。
2016/6/7
2
(Copyright(C)2012 Vic Co.,Ltd.All Rights Reserved
診断概要
WEBアプリケーション診断
☆ Webサイト(アプリケーション)の脆弱性を調査して、システムの堅牢さを診断します。
2016/6/7
3
(Copyright(C)2012 Vic Co.,Ltd.All Rights Reserved
診断項目(その1)
項
目
診断の眼目・目的・狙い
アカウント監査
脆弱なパスワード設定
CGI スクリプト脆弱性監査
脆弱性の知られているCGIスクリプトの存在
サーバ証明や暗号化に関する脆弱性監査 不適切なSSL証明書の利用
データベース脆弱性監査
データベースに関連する脆弱性の監査。
FTP サーバ脆弱性監査
FTP/匿名接続
FTPサービス脆弱性調査
LDAP (Lightweight Directory Access
Protocol) に関連する監査。
SMTP/不正中継調査
SMTP/EXPN、VRFY調査
SMTPサービス脆弱性調査
POPサービス脆弱性調査
LDAP サーバ監査
メールサーバ脆弱性監査
実施内容
ユーザIDおよびパスワードの複雑度合の監査。 管理者のデフォルトパス
ワードのチェック。パスワードのないアカウントや期限切れのアカウント等、
保護されていないアカウント等有無の検査。
CGI とスクリプトに関する脆弱性の監査。/cgi/phf cgiスクリプトのような、セ
キュリティ脆弱性を持つCGIスクリプトが存在するか否かを監査。
サーバ認証やサーバ証明書による暗号化の関する脆弱性の監査。認証設
定の不備やSSL証明書内ホスト名のミスマッチ(SSL証明書の妥当性)。認
証期限切れ等。
OracleやMicrosoft SQL Server、IBM DB2、Sybaseといった主なデータベー
スの脆弱性の有無やパッチの適用状況、アカウント/パスワード設定や権
限、ロールの設定状況、監査設定といったさまざまなセキュリティ項目を実
施。
FTPサーバとファイル転送プロトコルに関連する脆弱性を検査。
脆弱性(セキュリティホール)が存在しているかを検査。
SMTP、IMAP、POP2、POP3やその他インターネットメールサーバのセキュ
リティ脆弱性を検出する監査。
診断項目(その2)
項
目
診断の眼目・目的・狙い
実施内容
NETBIOSプロトコルの脆弱性を検出する監査。リモートのWindows ファイ
ル共有内のパーミッション問題を検出する監査。
NetBIOS 脆弱性監査
アカウントポリシーの調査
リモートアクセス脆弱性監査
SMB/アカウント情報収集
SMB/ファイル共有情報収集
SMB/NetBIOS情報収集
SMB/簡易パスワード推測
SSHサービス脆弱性調査
SUNRPC/RPCサービス脆弱性調査
SMB/CIFSサービス脆弱性調査
リモートアクセスエージェントのセキュリティホールの監査。他にSecure
Shell サーバの脆弱性を監査。
サーバコントロール監査
脆弱なrpc.statdサーバの存在を調査
サーバコントロールサービスに関連する脆弱性の監査。サーバコントロー
ルサービスとは、多くのソフトウェアパッケージで見られる、サービスをリ
モートでコントロール、監視する仕組みの監査。
Web サーバ脆弱性監査
DNS脆弱性監査
HTTP(S)/Webスキャン
HTTP(S)/WebDAV、FrontPage
HTTP(S)/アプリケーションマッピング
HTTP(S)/Proxy調査
HTTP(S)サービス脆弱性調査
DNSゾーン転送の可否
DNS再帰的問い合わせの可否
DNSダイナミックアップデートの可否
DoS攻撃脆弱性監査
DoS攻撃に対する耐性検査。
パッケージ
ネットワーク/OS推測
バナー監査
サービスパック監査
不要と思われるサービスの稼動
Webサーバ、CGI、HTTPプロトコルに関連する脆弱性の監査。
Domain Name Serviceプロトコルに関する脆弱性チェックや監査。DNSサー
バが脆弱性を持っている場合、外部から偽の情報が書き込まれ、悪意の
あるサイトへ誘導される場合や、メールが悪意のあるサイトに送信させる攻
撃。
「Slowloris」「Slow Read DoS」攻撃などによる監査。
サード・ベンダーやグループから提供されている、特定のディストリビュー
ションのパッケージに関する監査。
稼動中のサービスからの情報取得
ソフトウェアバージョン(バナー情報)を脆弱性のあるものと比較。
エラーメッセージによる情報漏洩
OSやアプリケーションソフトウェアの既知の脆
パッチ(アップデート)の未適用。古いパッケージソフトの利用の監査。
弱性
TELNETサービス脆弱性調査
バックドア検出 等
NTPサービス脆弱性調査
診断料金
サービス品目
数量
単位
作業工数
単価
ネットワーク診断
1
IP
1.0
80,000
WEBアプリケーション診断
1
サイト
1.0
80,000
診断結果報告作成
1
本
1.0
100,000
レビュー&アドバイザリー(報告会)
1
人日
1.0
50,000