サイバー攻撃自動診断
自動脆弱性診断ツール
サイバー攻撃自動診断の特長
サイバー攻撃自動診断の流れ
注意事項
- 本サービスの診断申し込みが立て込んでいる場合、診断開始まで少しお待ちいただく場合があります。システムが空き次第、自動的に診断が開始されます。
- 診断時間は診断開始から最大で1日程度をお時間に余裕をもってお申し込みください。ページ数が少ないサイトの場合2時間程度で終了する場合もあります。
- 診断レポートの項目は定期的に最新の脆弱性の公開状況により、アップデートされます。時間をおいて診断を行った場合、項目が変更されている場合があります。
診断項目について
クロスサイトスクリプティング
クロスサイトスクリプティングとは、攻撃者が送り込んだ悪意のコードをそのページを閲覧した不特定多数のユーザーに、スクリプト(簡易的なプログラム)として実行される可能性があることを指します。
SQLインジェクション
SQLインジェクションとは、本来入力としては使われることが想定されていないSQL文を挿入することで、データベースに不正な操作を加える攻撃方法のことです。
CSRF
クロスサイトリクエストフォージェリ(CSRF)とは、何かしらのアプリケーションにログイン中のユーザーに対して、知らずのうちに悪意のあるリクエストを送信させることを目的とする攻撃手法です。
SSRF
サーバーサイドリクエストフォージェリ(SSRF)とは、Webアプリケーションに対し特殊なURLを含むHTTPリクエストを送信し、外部からは通常アクセスできない内部ネットワークに侵入する手段です。
XMLインジェクション
XMLインジェクションとは、XMLドキュメントに特殊文字を挿入することで、ドキュメントを改ざんする攻撃です。
SSL/TLSの検証
ご利用されている通信プロトコルを分析し、古いプロトコルや暗号化アルゴリズムが使われていないか診断します。
サーバー設定
サーバーの設定や、開いているポートなどを分析し、セキュリティ設定が適切に施されているかを確認する診断です。
X-Content-Type-Optionsヘッダの未設定
X-Content-Type-Optionsヘッダが設定されているか確認します。設定されていない場合クロスサイトスクリプティングなどの攻撃につながる可能性があります。