概要
Webアプリケーション侵入テストは、WebアプリケーションとそのAPIに対する実際の攻撃を模擬し、インジェクション、アクセス制御の不備、認証の欠陥といった悪用可能な脆弱性を検出する、手動かつ承認済みの評価です。当社のテスターは自動スキャンにとどまらず、複数の弱点を連鎖させ、ビジネスへの影響を実証し、優先順位付けされた開発者向けの修正策を提供します。これらの弱点は、機微なビジネスデータ、顧客データ、認証情報、財務データを露出させる恐れがあるため、テストは侵害につながる可能性が最も高い欠陥に焦点を当てます。
方法論&標準
OWASP WSTG v4.2、OWASP Top 10(2021)、OWASP ASVS、OWASP API Security Top 10を、PTESおよびNIST SP 800-115の枠組みの中で活用します。Burp Suite Proに手動検証を加えることで誤検知を排除します。
含まれる内容
全WSTGカテゴリーを網羅する認証済みおよび未認証のテスト
単なるスキャンではない、ビジネスロジックとアクセス制御のテスト
概念実証を伴う手動エクスプロイトと攻撃の連鎖
OWASP API Top 10に基づくAPIセキュリティテスト
認証テスト
セッション管理テスト
入力検証テスト
提供される成果物
CVSSで評価された結果を含むエグゼクティブサマリーと技術レポート
再現手順と概念実証の証跡
優先順位付けされた開発者向けの修正ガイダンス
無償の修正再テストと、顧客または監査人向けの証明書
リスクの優先順位付けとコンプライアンス重視のレポート
OWASP準拠経営層向けレポート修正ガイダンス再テストを含む証明書スキャナーのダンプなし
よくある質問
いいえ。自動ツールは出発点にすぎません。当社のテスターはすべての問題を手動で検証し、誤検知を排除し、深刻度の低い欠陥を、スキャナでは検出できない実際の攻撃経路へと連鎖させます。ノイズの多いツールの出力ではなく、悪用可能性の証明が得られます。
事前に実施範囲のルールを合意し、破壊的なチェックにはステージングのミラー環境を推奨します。本番環境でのテストは中断を避けるために調整・計画され、実施期間中はリアルタイムの連絡窓口を設けます。
はい。報告されたすべての結果に対する修正再テストが含まれており、修正が独立して検証されたことを確認する更新版の証明書を発行します。
一般的な評価には、認証、認可、セッション管理、入力検証、ビジネスロジック、エラー処理、APIセキュリティ制御が含まれます。