サイバートラスト

Web スキャナー

Web スキャナーの特長

簡単な導入と運用が可能な、完全クラウド型脆弱性診断

  • Web サーバーにエージェントやソフトウェア等のインストール、特別な機器の導入などは一切不要です。
  • ハッカーの立場でクラウド側から検査。
  • 完全自動の定期脆弱性診断サービスです。
  • プラットフォームと Web アプリケーションの両方を検査
  • ネットワークに影響を与えない非侵襲的(非破壊的)検査のみを実行

世界的に信頼性の高い診断エンジンを採用

  • PCI-DSS(※)の認定ベンダーが提供する診断エンジンを採用
  • セキュリティーに厳格なカード業界品質の診断サービス
  • 診断エンジンは世界的な企業や軍、セキュリティベンダにも採用されています

※PCI DSS(Payment Card Industry Data Security Standard:PCI データセキュリティスタンダード)は、 クレジットカード情報および取り引き情報を保護するために 2004 年 12 月、JCB・American Express・Discover・マスターカード・VISA の国際ペイメントブランド 5 社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

最高水準の脆弱性データベースに基づき診断

  • IT セキュリティーの情報ポータル Securiteam.com の情報を元に、日々、検査パターンを作成・更新
  • 13,000 以上の脆弱性項目(Light では 10,000 以上)と、5,000 以上の攻撃スクリプトを蓄積

Web スキャナーによる脆弱性診断のしくみ

Web スキャナーは、3 つのフェーズで Web サーバーに診断を実施します。

ネットワーク診断
(1) ネットワーク診断・基本項目診断

既知のポートに対してスキャンを実行、ネットワーク層の脆弱性を検査します。
不必要に開いているポートや、サービスの有無を調査、不要なサービスがあれば設定情報を収集、脆弱性データベースと照合し、潜在的な脆弱性があれば、検査を実施します。

Web アプリケーション診断
※Web スキャナー Light では
Web アプリケーション診断は行われません
(2) クローリング

スキャン実施前に診断対象の Web サイトの情報を収集、診断すべき対象の URL を抽出します。

(3) スキャン実施

Web サイトのページ、アプリケーション、Web サーバーを検査し、攻撃に利用可能な脆弱性やセキュリティホールをスキャンします。 主に Web サイトのコード、サーバー設定のエラーなどを検知し、Web サイトの抱えるセキュリティリスクを診断します。
診断対象は外部から定期的に検査する事で常に最新の脆弱性にも対応する事が可能です。
診断時間は、Web サイトの規模や動的ページの数により変動します。

セキュリティー検査項目

Web スキャナーの脆弱性データベースには、13,000 の脆弱性項目と、5,000 以上の攻撃スクリプトが蓄積されています。Web スキャナーが提供する診断サービスは、Web アプリケーションだけではなく、ネットワークやデータベースの脆弱性を診断できる業界で唯一の診断サービスです。

主な検査項目には次のような項目があります。

  • バックドア
  • リモートコントロール
  • ブルートフォース攻撃
  • CGI と FORM 処理の脆弱性(SQL インジェクションを含む)
  • デフォルトパスワード
  • 全データベースサーバー
  • 全マイクロソフトのバージョン
  • 全 UNIX と Linux のバージョン
  • E メールサービス
  • リモート管理アクセス
  • リモートデータベースアクセス
  • リモートファイルアクセス
  • 全 TCP ポート
  • RPC
  • SMB/NetBIOS
  • ICMP
  • HTTP サービス(クロスサイトスクリプティングを含む)
  • SNMP
  • SMTP
  • UDP
  • FTP と Telnet
  • ルーターとロードバランサー
  • Firewall とアドレススイッチ

上記の検査項目の中で、赤色で表示している以下の項目は Web スキャナー Light では検査項目に含まれません。
・CGI と FORM 処理の脆弱性(SQL インジェクションを含む)
・HTTP サービス(クロスサイトスクリプティングを含む)

Web アプリケーション診断ができないページについて

「Web スキャナー」はツールによる自動診断をご提供するサービスです。手動診断のような柔軟な対応はできないため、次のようなページの Web アプリケーション診断はできません。「Web スキャナー」で診断できないページが多数存在する Web サイトでは、「Web スキャナー」に加えて、手動による脆弱性診断をあわえてご検討ください。

【診断できないページの例】

JavaScript で遷移するページ Web スキャナーでは、Form タグや A タグで記述されたフォームやリンクをたどりながらクロールしページ情報を取得しています。JavaScript によって遷移するページはクロールできないため診断できません。
たとえば、 <input type="button" onClick="処理">、<a href="...." onClick="処理"> で呼び出され location.href = "リンク先"; で遷移する、など。
同様の理由で JavaScript によりフォーム送信されるページではフォーム送信自体が行えないため診断できません。
入力チェックなどにより遷移前ページの Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ) フォームへの入力値を指定することはできない為、Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ)の次ページ以降はクロールで取得できません。
前ページから引き継がれてきた動的な値をチェックして表示を行うようなページ たとえば、URL の後ろに「TOKEN=dc123ad64b31006ecc4aad0c13d644c1」のようなリファラ情報が付いてないと遷移できないようなページはクロールできないため診断できません。
Basic 認証+フォーム(ID&Password)認証のように認証情報が 2 つ以上必要とするサイト 認証情報は 1 つしか設定できません。例えば、Form 認証と Basic 認証などを 2 つ以上重ねて使用しているサイトについては診断できません。
クロスドメイン認証(別ドメインでの認証)を使用しているサイト フォーム認証は診断対象として設定したドメインの URL のみ設定できる為、別ドメインでの認証は設定できません。例えば、www.company.co.jp を診断対象としているにも関わらず、ログイン時に login.company.co.jp に遷移するサイトでは、ログイン後のページの診断はできません。
POST メソッドでアクセスするページ クロール開始ページは GET メソッドリクエストで呼び出せる必要があります。
文字コードが適切に設定されていないページ Web スキャナーはデフォルトでは、UTF-8 でデコードした情報でクロールを行っております。このため、UTF-8 以外の文字コードで作られている Web ページで、文字コードが適切に指定されていない場合は、クロール時に文字化けを起こし、正常にクロールできないことがあります。
Cipher Suites を制限しているサイト 診断サーバー側では一般的によく使用される SSL 通信の設定を使用していますが、診断対象側で使用可能な Cipher suites を絞り込んでいる等の設定をしている場合に、稀に通信ができない事象が発生します。