近年のWeb開発のトレンドであるSPAには、従来のWebアプリケーション(MPA: Multi-Page Application)には無い、SPA固有のテクニカルリスクが存在します。
ITMのSPA診断は、OWASP Testing Guideをベースにした診断項目と、高度なハッキングスキルでフロントエンド(JavaScript/Framework), とバックエンド(API)の両方を診断します。
以下は、SPA固有の主なリスクになります。
分類 | 診断項目 | クライアントサイド※ |
---|---|---|
不必要な情報の露出 | 不必要なファイル/ページの露出 | |
不適切なログイン失敗メッセージ | ||
コメント処理した重要情報の漏出 | ||
エラーメッセージの露出 | ||
サーバのバージョン情報の露出 | ||
重要な情報の露出 | 重要な情報の送信における暗号化通信の使用 | |
重要な情報の平文での露出 | ||
ソースコードの露出 | ||
ファイルダウンロードの脆弱性 | ||
ディレクトリリスティングの脆弱性 | ||
脆弱な認証及び権限昇格/権限盗用 | 推測可能なアカウント/パスワード | |
Brute-Force攻撃の脆弱性 | ||
クッキー認証の脆弱性 | ||
セッション管理の脆弱性 | ||
JWT(JsonWebToken)管理の脆弱性 | ||
認証迂回の脆弱性 | ||
クロスサイトスクリプティングの脆弱性 | ○ | |
クロスサイトリクエストフォージェリ(CSRF)の脆弱性 | ||
管理ページ及びアクセス制御の脆弱性 | ||
ブラウザキャッシュの脆弱性のテスト | ||
クロスオリジンリソース共有のテスト | ○ | |
Clickjackingのテスト | ○ | |
ローカルストレージのテスト | ○ | |
Framework(Angular, Vue.js, React)のクロスサイトスクリプティング | ○ | |
データへのアクセス・操作 | SQL Injectionの脆弱性 | |
LDAP Injectionの脆弱性 | ||
XPath Injectionの脆弱性 | ||
リモートによるコマンド実行 | Command Injectionの脆弱性 | |
Local File Inclusionの脆弱性 | ||
Remote File Inclusionの脆弱性 | ||
Formula Injectionの脆弱性 | ||
XXE Injectionの脆弱性 | ||
ファイルアップロードの脆弱性 | ||
その他 | 検証されてないRedirect/Forwardの脆弱性 | ○ |
不必要なHTTPメソッド許可の脆弱性 | ||
セッション タイムアウト設定の脆弱性 | ||
不十分なSSL/TLS保護の脆弱性 | ||
Webサーバ上のアプリケーションを列挙 |
※クライアントサイドは、サーバサイドだけでなくクライアントサイドも診断します。
当社で提供する脆弱性診断サービスの具体例の一部です。
様々なWebサイト、Webアプリケーションのタイプやシステム構成に分けて考え実施します。
フロントエンドのページ数とバックエンドのAPI数により価格は変動します。
詳細をヒヤリングのうえ、最適な診断方法をご提案致します。
お問い合わせフォーム(サービス)よりご相談を賜ります。
ネットワーク・OS・ミドルウェアなどのプラットフォーム脆弱性診断。
ツール診断ではカバーしきれないセッション管理系の脆弱性診断も可能。ECサイトのような大量の個人情報を扱っているWebサイトにおすすめ。
Webアプリケーション診断/手動の診断項目に加え、JavaScript/Frameworkの解析によりSPA固有の診断項目を高度なハッキングスキルを用いて診断。