English

お問い合わせ

診断内容の詳細について

診断内容の詳細について

クレジットカード業界のセキュリティ基準 PCIDSS で既定される外部脆弱性診断と同じテスト内容で診断を実施します。

脆弱性ツール診断のデータベースには、13,000 の脆弱性項目と、5,000 以上の攻撃スクリプトが蓄積されていて、日々更新されています。脆弱性ツール診断が提供する診断サービスは、Web アプリケーションだけではなく、ネットワークやデータベースの脆弱性まで診断します。

カテゴリー 検査項目例 検査項目数
DNS サーバー BIND のバージョン取得など 約 150 項目
FTP サーバー FTP 平文認証など 約 300 項目
Mail サーバー SMTP 認証など 約 300 項目
NFS サービス 不必要な NFS Serverなど 約 20 項目
Proxy サーバー F5 BIP-IP の永続クッキーなど 約 150 項目
RPC サービス RPC ポートマッパ検出など 約 70 項目
SQL サーバー パスワードのない MySQL など 約 400 項目
SSH サーバー SSH サーバーバックポートセキュリティパッチなど 約 100 項目
Webmail サーバー IlohaMail 検出など 約 100 項目
ウェブサーバー サポート対象外のウェブサーバーソフトウェア検出など 約 1000 項目
サーバーサイド・スクリプト クロスサイト・スクリプティングなど CGI と FORM 処理の脆弱性(SQL インジェクションを含む) 約 4200 項目
ネットワークサービス PPTP の検出など 約 1200 項目
ネットワークデバイス TTL Anomaly 検知など 約 700 項目
バックドア Windows Terminal Service の検出など 約 200 項目
ファイアウォール DNS によるファイアウォールルールの通過(UDP 53番)など 約 50 項目
ポリシーチェック Office のファイル一覧など 約 4000 項目
情報収集 GET リクエストによる稼動サービス確認 約 90 項目
暗号化と認証 自己署名 SSL 証明書など 約 250 項目

診断ができないページ例

JavaScript で遷移するページ 脆弱性ツール診断では、Form タグや A タグで記述されたフォームやリンクをたどりながらクロールしページ情報を取得しています。JavaScript によって遷移するページはクロールできないため診断できません。
たとえば、 <input type="button" onClick="処理">、<a href="...." onClick="処理"> で呼び出され location.href = "リンク先"; で遷移する、など。
同様の理由で JavaScript によりフォーム送信されるページではフォーム送信自体が行えないため診断できません。
入力チェックなどにより遷移前ページの Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ) フォームへの入力値を指定することはできない為、Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ)の次ページ以降はクロールで取得できません。
前ページから引き継がれてきた動的な値をチェックして表示を行うようなページ たとえば、URL の後ろに「TOKEN=dc123ad64b31006ecc4aad0c13d644c1」のようなリファラ情報が付いてないと遷移できないようなページはクロールできないため診断できません。
Basic 認証+フォーム(ID&Password)認証のように認証情報が 2 つ以上必要とするサイト 認証情報は 1 つしか設定できません。例えば、Form 認証と Basic 認証などを 2 つ以上重ねて使用しているサイトについては診断できません。
クロスドメイン認証(別ドメインでの認証)を使用しているサイト フォーム認証は診断対象として設定したドメインの URL のみ設定できる為、別ドメインでの認証は設定できません。例えば、www.company.co.jp を診断対象としているにも関わらず、ログイン時に login.company.co.jp に遷移するサイトでは、ログイン後のページの診断はできません。
POST メソッドでアクセスするページ クロール開始ページは GET メソッドリクエストで呼び出せる必要があります。
文字コードが適切に設定されていないページ 脆弱性ツール診断はデフォルトでは、UTF-8 でデコードした情報でクロールを行っております。このため、UTF-8 以外の文字コードで作られている Web ページで、文字コードが適切に指定されていない場合は、クロール時に文字化けを起こし、正常にクロールできないことがあります。
Cipher Suites を制限しているサイト 診断サーバー側では一般的によく使用される SSL 通信の設定を使用していますが、診断対象側で使用可能な Cipher suites を絞り込んでいる等の設定をしている場合に、稀に通信ができない事象が発生します。

脆弱性ツール診断 トップへ戻る

サイバートラストのテレワークソリューション
採用情報ページ リニューアル
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS