「セキュリティ診断サービス」のソースコード診断では、最新のサイバー攻撃の調査・研究を行っているセキュアブレインのエンジニアがWebアプリケーションのソースコード自体を診断し、脆弱性を検出し対策方法を報告する。開発中または稼働中のソースコードを解析することにより、Webサーバに影響なく安全に診断することができる。
動的な診断では見つけられない脆弱性(内部不正者やバックドアなどの攻撃)も検出可能で、セキュリティの問題だけでなく「リソースの解放漏れ」や「メモリーの競合」などアプリケーションの可用性、信頼性に関する問題も検出可能だという。ソースコードのどの部分に脆弱性があるのか、具体的なファイル名や行番号なども報告する。また、修正すべき箇所が多数存在する場合、最も効率のよい修正箇所を報告するため、修正に必要な工数を削減することができるという。
■検出可能な脆弱性
- SQLインジェクション
- セッション固定攻撃
- クロスサイト・スクリプティング
- セッションポイズニング
- コードインジェクション
- 補足されていない例外
- バッファオーバーフロー
- 解放されていないリソース
- パラメータの改ざん
- 検証されていない入力
- クロスサイトリクエストフォージェリ
- URLリダイレクト攻撃
- HTTPレスポンスの分割
- 危険なファイルアップロード
- ログの偽装
- ハードコーディングされたパスワード
- DoS攻撃
■対応言語
Java、Apex and VisualForce、C#、Ruby、JavaScript、VBScript、VB.NET、Perl、ASP、HTML5、VB6、Python、PHP、Groovy、C/C++、Scala、Android (Java)、PL/SQL、Objective C、GO、Swift
■サポートするセキュリティガイドライン
OWASP Top 10、SANS、PCI DSS、HIPAA、CWE COMPATIBLE、BSIMM
