API診断
最新の脅威動向を押さえた当社がツールや手動による診断で脆弱性を検出
脆弱性をついたセキュリティ事故を予防しセキュリティリスクを下げる脆弱性をつかれた攻撃が原因でビジネスへの影響を与えないためにするには
Webアプリケーションを使ったサービス提供は企業にとって、利用者にサービス提供をする上で、非常に有効な手段となっています。
お客様のサービスに対する利便性を高くするとともに、多様なサービスを提供することができます。
一方、Webアプリケーションだけではなく、APIに脆弱性があり、脆弱性をついた攻撃により、情報漏洩などの重大なインシデントが発生し、企業のビジネス活動に大きな影響を与えます。
API診断は経済産業省が策定した「情報セキュリティサービス基準」に適合する情報セキュリティサービスです。
特定非営利活動法人 日本セキュリティ監査協会
情報セキュリティサービス基準審査登録委員会サービス種別:脆弱性診断サービス
登録番号:018-0045-20
サービス名称:API診断
ご支援内容
本サービスは事前にAPIに潜むセキュリティ上の問題点をリモートから診断し、見つけ出すサービスです。
最新の脅威動向やセキュリティインシデントに精通した専門家が、セキュリティ上の問題を見つけ出すとともに、対処方法のアドバイスも含めてご報告いたします。
また、高いレベル(5段階中、危険性高い3段階)の脆弱性が検出された場合は、速報としてメールにて報告いたします。
主な診断項目例
認証 | 不適切な認証 |
---|---|
パスワードリマインダの検証 | |
承認 | セッションの推測 |
セッションの固定 | |
不適切な承認 | |
セッションの盗難 | |
クライアント側での攻撃 | クロスサイトスクリプティング |
クロスサイトリクエストフォージェリ | |
コンテンツの詐称 | |
クリックジャギング | |
コマンドの実行 | バッファオーバーフロー |
書式文字列攻撃 | |
LDAPインジェクション | |
OSコマンドインジェクション | |
SQLインジェクション | |
SSIインジェクション | |
XMLインジェクション | |
パラメータ改ざん | |
情報漏洩 | ディレクトリインデクシング |
推測可能なリソース位置 | |
ウェブサーバ・アプリケーションの特定 | |
ロジックを狙った攻撃 | 機能の悪用 |
パストラバーサル | |
リダイレクタ | |
不適切なプロセスの検証 | |
その他 | 診断中に見つかったバグとみられる動作や | 上記以外の脆弱性が発見されれば報告します。
オプションサービス
導入事例
API診断は、小売企業、電力会社、鉄道会社、地方銀行、国立大学、総合建設業、一部上場BtoB向けIT企業、EC系IT企業、広告系IT企業、マザーズ上場広告系IT企業、ドラッグストア、海外ファッションブランド、音楽ファンサイト、オンラインストレージサービス、クーポン発行システム、教育系IT企業、保険会社などの企業様に導入いただいています。