OS・言語不問、フルカスタムな検証内容
Windows、macOS、Linux系OSなど、OSを問わずあらゆる言語、プラットフォームの調査が可能です。HTTP/HTTPS以外のプロトコルの調査実績もあります。また、アプリの特性に合わせた検証内容を実施いたしますので、より効果の高さを実感いただけるサービスとなっています。
ご希望に合わせて、ブラックボックステストやグレーボックステストによる診断も可能です。ホワイトボックステストでソースコードを確認した際は、コード上で問題がある箇所と改善策を記載します。これによって脆弱性を確実に修正することができます。
ほかの検査や診断手法との比較
「経験豊富な診断員による手作業」+「ホワイトボックステスト」により、調査対象のアプリをソースコードレベルで、開発者の癖などを含めて全方位で検査し、指摘、報告できます。ラックのアプリケーションペネトレーションテストで行うホワイトボックステストは、ソースコードの検証と現象の確認はもちろん、具体的な改善個所の指摘や修正箇所の再評価まで対応します。
※ ご希望により、ブラックボックステストも可能です
| 検査手法 | ラックの アプリケーション ペネトレーションテスト |
ファジング | 一般的な 脆弱性診断 |
一般的な ソースコード セキュリティ検査 |
|---|---|---|---|---|
| ソースコード | 必要 (ホワイト ボックス) |
必要なし (ブラック ボックス) |
必要なし (ブラック ボックス) |
必要 (ホワイト ボックス) |
| 検査可能な 脆弱性の種類 |
広範囲の 種類の脆弱性 |
主に リソース管理に 関する脆弱性 |
限定的な 種類の脆弱性 (主に一般に知られている脆弱性) |
広範囲の 種類の脆弱性 |
| 問題個所 の特定 |
○ | × | × | ○ |
| 現象の 確認 |
○ | ○ | ○ | × |
| 脆弱性の 種類の 判定 |
○ | × | ○ | ○ |
| 修正箇所 の再評価 |
○ | × | × | × |
| 脆弱性に 繋がりうる 箇所の指摘 |
○ | × | × | × |
| 検査手法 | ラックの アプリケーション ペネトレーションテスト |
ファジング | 一般的な 脆弱性診断 |
一般的な ソースコード セキュリティ検査 |
|---|---|---|---|---|
| ソースコード | 必要 (ホワイト ボックス) |
必要なし (ブラック ボックス) |
必要なし (ブラック ボックス) |
必要 (ホワイト ボックス) |
| 検査可能な 脆弱性の種類 |
広範囲の 種類の脆弱性 |
主に リソース管理に 関する脆弱性 |
限定的な 種類の脆弱性 (主に一般に知られている脆弱性) |
広範囲の 種類の脆弱性 |
| 問題個所 の特定 |
○ | × | × | ○ |
| 現象の 確認 |
○ | ○ | ○ | × |
| 脆弱性の 種類の 判定 |
○ | × | ○ | ○ |
| 修正箇所 の再評価 |
○ | × | × | × |
| 脆弱性に 繋がりうる 箇所の指摘 |
○ | × | × | × |
具体例から見るアプリケーションペネトレーションテストの効果
- ドキュメントや仕様を理解した上で、意図的に悪意のある攻撃を実施し、脆弱性を検出
ソースコードの確認とともに検証環境に対して実際に攻撃し、大切なアプリ上で発生し得る被害の可能性を検証します。また、診断員がアプリの動作を実際に確認し、システムを理解した上でソースコードをレビューし、意図的に悪意のある攻撃を試み脆弱性を検出します。 - 検出した脆弱性に対する改善策を提案
ソースコードを確認することで、問題となる箇所をピンポイントで指摘し、具体的な改善策を提案します。また、お客様が修正したソースコードについて、「検出した脆弱性を利用した不正行為を防げているか」「修正したことにより新たな不正行為が可能になっていないか」を確認します。
報告書サンプル
ラックだからこそできるソースコードレベルでの指摘を含めた具体的な改善報告書を納品します。
攻撃影響度の判定
価格
ヒアリングを実施後、個別にお見積もりします。お気軽に問い合わせください。
参考価格は300万円~です。