セキュリティコンサルティング

Votre IT est-il sur ?

Webセキュリティ

Nous analysons vos applications web afin d'y detecter d'envtuelles failles. Nous testons plusieurs types d'attaques (injections SQL, XSS, CSRF pour les plus courantes). Nous verifions aussi la configuration de votre site web, l'adressage URL, la validation de vos formulaires, etc...

ネットワークセキュリティ

We mainly intervene on the overall implemented architecture. Definitions of rules of networks physical and/or logical separation, implemented routing protocols, filters on protocols, adresses or communications, partitioning into different and distinct security zones are our major fields of intervention.

お見積もり »

Top 10 アプリケーションのセキュリティリスク(OWASP)

インジェクション攻撃 インジェクション攻撃(SQL, OS, LDAP等)は、信頼されていないデータをコマンド又はクエリの一部としてインタプリタに送る際に発現します。攻撃者の悪意あるデータは、インタプリタが意図しないコマンドを実行したり、権限のないデータにアクセスするようにだますことができます。
クロスサイトスクリプティング(XSS) XSSの脆弱性は、信頼されていないデータを受け取り、適切な検証およびエスケープをせずにWebブラウザに送信された際に発生します。 XSSにより攻撃者は、被害者のブラウザでスクリプトを実行し、ユーザセッションのハイジャック、Webサイトの汚損、悪意あるサイトへとユーザをリダイレクトさせることができます。
不完全な認証とセッション管理 認証とセッション管理に関連するアプリケーションの機能は、しばしば不適切な実装がなされています。実装が不適切な場合には、攻撃者はパスワード、各種鍵、セッショントークンを悪用したり、他のユーザのID推測につながる実装の不備の悪用などを行う事が出来ます。
安全でないオブジェクトの直接参照 オブジェクトの直接参照は、開発者がファイル、ディレクトリ、またはデータベースキーなど、内部実装のオブジェクトへの参照を公開している場合に発生します。アクセス制御チェックやその他の保護がなければ、攻撃者はこれら参照をそうさすることでアクセス承認されていないデータへとアクセスすることが可能となります。
クロスサイトリクエストフォージェリ(CSRF) CSRF攻撃は、ログオンしている犠牲者のブラウザから偽造されたHTTPリクエストを脆弱性のあるWebアプリケーションに強制的に送信させます。そのリクエストには、被害者のセッションクッキーおよびその他自動的に書き込まれる認証情報が含まれています。これにより攻撃者は、脆弱性のあるアプリケーションが犠牲者ユーザからの正当なリクエストと認識させるリクエストを犠牲者のブラウザから強制的に生成することが出来ます。
セキュリティの不適切な設定 適切なセキュリティにはセキュアな設定が定義され、それをアプリケーション、フレームワーク、アプリケーションサーバ、Webサーバ、データベースサーバ、プラットフォームに反映させる必要があります。多くのアプリケーションはセキュアな設定で出荷されていないため、これら全ての設定について同様に定義・実装・維持されなければなりません。全てのソフトウェアとアプリケーションによって利用される全てのコードライブライラリを最新に保たねばなりません。
安全でない暗号化によるデータ保存 多くのWebアプリケーションは、適切な暗号やハッシュを実装して、機密データ(クレジットカード、SSN、認証情報)を適切に保護するようにはなっていません。攻撃者は機密データの保存方式に関わる脆弱性を利用して、データを搾取したり改ざんすることで、ID窃盗やクレジットカード詐欺等の犯罪を行います。
URLアクセス制御の不備 多くのWebアプリケーションは、保護されたリンクやボタンをレンダリングする前に、URLのアクセス権を確認しています。しかし、これらのページがアクセスされる度に、アプリケーションは同様のアクセス制御チェックを実行する必要があり、この実行がなされないと、攻撃者はURLを偽造することで、本来は直接アクセスされることのない隠されたページへとアクセスすることが可能となります。
不十分なトランスポート層の保護 アプリケーションは弱い暗号化アルゴリズムを用いたり、期限切れや不正な証明書を用いている事があります。このようなケースでは適切な認証が確保されず、暗号化、機密性のあるネットワークトラフィックの秘匿性及び保全性・完全性も保証されません。
検証されていないリダイレクトとフォーワード Webアプリケーションは頻繁にユーザを他のページやウェブサイトにリダイレクト・フォーワードしており、その目的のページの決定には信頼出来ないデータを用いています。適切な検証がなされない場合、攻撃者は被害者をフィッシングやマルウェアのサイトへとリダイレクトさせたり、あるいはフォワード(転送)させる事で認証されていないページへとアクセスすることが可能となります。