近年のWeb開発のトレンドであるSPAには、従来のWebアプリケーション(MPA: Multi-Page Application)には無い、SPA固有のテクニカルリスクが存在します。
ITMのSPA診断は、OWASP Testing Guideをベースにした診断項目と、高度なハッキングスキルでフロントエンド(JavaScript/Framework), とバックエンド(API)の両方を診断します。
以下は、SPA固有の主なリスクになります。
| 分類 | 診断項目 | クライアントサイド※ |
|---|---|---|
| 不必要な情報の露出 | 不必要なファイル/ページの露出 | |
| 不適切なログイン失敗メッセージ | ||
| コメント処理した重要情報の漏出 | ||
| エラーメッセージの露出 | ||
| サーバのバージョン情報の露出 | ||
| 重要な情報の露出 | 重要な情報の送信における暗号化通信の使用 | |
| 重要な情報の平文での露出 | ||
| ソースコードの露出 | ||
| ファイルダウンロードの脆弱性 | ||
| ディレクトリリスティングの脆弱性 | ||
| 脆弱な認証及び権限昇格/権限盗用 | 推測可能なアカウント/パスワード | |
| Brute-Force攻撃の脆弱性 | ||
| クッキー認証の脆弱性 | ||
| セッション管理の脆弱性 | ||
| JWT(JsonWebToken)管理の脆弱性 | ||
| 認証迂回の脆弱性 | ||
| クロスサイトスクリプティングの脆弱性 | ○ | |
| クロスサイトリクエストフォージェリ(CSRF)の脆弱性 | ||
| 管理ページ及びアクセス制御の脆弱性 | ||
| ブラウザキャッシュの脆弱性のテスト | ||
| クロスオリジンリソース共有のテスト | ○ | |
| Clickjackingのテスト | ○ | |
| ローカルストレージのテスト | ○ | |
| Framework(Angular, Vue.js, React)のクロスサイトスクリプティング | ○ | |
| データへのアクセス・操作 | SQL Injectionの脆弱性 | |
| LDAP Injectionの脆弱性 | ||
| XPath Injectionの脆弱性 | ||
| リモートによるコマンド実行 | Command Injectionの脆弱性 | |
| Local File Inclusionの脆弱性 | ||
| Remote File Inclusionの脆弱性 | ||
| Formula Injectionの脆弱性 | ||
| XXE Injectionの脆弱性 | ||
| ファイルアップロードの脆弱性 | ||
| その他 | 検証されてないRedirect/Forwardの脆弱性 | ○ |
| 不必要なHTTPメソッド許可の脆弱性 | ||
| セッション タイムアウト設定の脆弱性 | ||
| 不十分なSSL/TLS保護の脆弱性 | ||
| Webサーバ上のアプリケーションを列挙 |
※クライアントサイドは、サーバサイドだけでなくクライアントサイドも診断します。
当社で提供する脆弱性診断サービスの具体例の一部です。
様々なWebサイト、Webアプリケーションのタイプやシステム構成に分けて考え実施します。
フロントエンドのページ数とバックエンドのAPI数により価格は変動します。
詳細をヒヤリングのうえ、最適な診断方法をご提案致します。
お問い合わせフォーム(サービス)よりご相談を賜ります。
ネットワーク・OS・ミドルウェアなどのプラットフォーム脆弱性診断。
ツール診断ではカバーしきれないセッション管理系の脆弱性診断も可能。ECサイトのような大量の個人情報を扱っているWebサイトにおすすめ。
Webアプリケーション診断/手動の診断項目に加え、JavaScript/Frameworkの解析によりSPA固有の診断項目を高度なハッキングスキルを用いて診断。
セキュリティ運用サービスは、お客様と予め設定したスケジュールに沿って、当社が定期的な脆弱性診断を実施し、その結果をご報告いたします。また、お客様側でのシステムの構成変更等があった際には、ご要望に応じて都度診断も承ります。診断結果レポートに基づく対策支援や運用代行も当社エンジニアが対応いたしますので、安心・安全なシステム運用が効率的に実施可能です。また、他のセキュリティサービスと組み合わせ、年間を通してセキュリティコンサルやアセスメントも承ります。
