「セキュリティ診断サービス」のソースコード診断では、最新のサイバー攻撃の調査・研究を行っているセキュアブレインのエンジニアがWebアプリケーションのソースコード自体を診断し、脆弱性を検出し対策方法を報告する。開発中または稼働中のソースコードを解析することにより、Webサーバに影響なく安全に診断することができる。
動的な診断では見つけられない脆弱性(内部不正者やバックドアなどの攻撃)も検出可能で、セキュリティの問題だけでなく「リソースの解放漏れ」や「メモリーの競合」などアプリケーションの可用性、信頼性に関する問題も検出可能だという。ソースコードのどの部分に脆弱性があるのか、具体的なファイル名や行番号なども報告する。また、修正すべき箇所が多数存在する場合、最も効率のよい修正箇所を報告するため、修正に必要な工数を削減することができるという。
■検出可能な脆弱性
- SQLインジェクション
- セッション固定攻撃
- クロスサイト・スクリプティング
- セッションポイズニング
- コードインジェクション
- 補足されていない例外
- バッファオーバーフロー
- 解放されていないリソース
- パラメータの改ざん
- 検証されていない入力
- クロスサイトリクエストフォージェリ
- URLリダイレクト攻撃
- HTTPレスポンスの分割
- 危険なファイルアップロード
- ログの偽装
- ハードコーディングされたパスワード
- DoS攻撃
■対応言語
Java、Apex and VisualForce、C#、Ruby、JavaScript、VBScript、VB.NET、Perl、ASP、HTML5、VB6、Python、PHP、Groovy、C/C++、Scala、Android (Java)、PL/SQL、Objective C、GO、Swift
■サポートするセキュリティガイドライン
OWASP Top 10、SANS、PCI DSS、HIPAA、CWE COMPATIBLE、BSIMM
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
