セキュアブレイン、ITインフラ診断・Webアプリケーション診断を行なう「セキュリティ診断サービス」にソースコード診断を追加
- 2018/06/07 10:30
- SecurityInsight
セキュアブレインは6月5日、ITインフラやアプリケーションに潜むセキュリティホールを専門家による診断で洗い出し、対策方法の提示までを支援する「セキュリティ診断サービス」に、Webアプリケーションのソースコードに潜む脆弱性を検出して対策方法を報告するソースコード診断を追加し、販売を開始することを発表した。
「セキュリティ診断サービス」のソースコード診断では、サイバー攻撃の調査・研究を行なっているセキュアブレインのエンジニアがWebアプリケーションのソースコード自体を診断し、脆弱性を検出して対策方法を報告する。開発中または稼働中のソースコードを解析することにより、Webサーバーに影響なく安全に診断することができる。動的な診断では見つけられない脆弱性(内部不正者やバックドアなどの攻撃)も検出可能。
セキュリティの問題だけでなく「リソースの解放漏れ」や「メモリーの競合」などアプリケーションの可用性、信頼性に関する問題も検出可能。ソースコードのどの部分に脆弱性があるのか、具体的なファイル名や行番号なども報告する。また、修正すべき箇所が多数存在する場合、最も効率のよい修正箇所を報告するため、修正に必要な工数を削減することができる。
■検出可能な脆弱性
・SQLインジェクション
・セッション固定攻撃
・クロスサイト・スクリプティング
・セッションポイズニング
・コードインジェクション
・補足されていない例外
・バッファオーバーフロー
・解放されていないリソース
・パラメータの改ざん
・検証されていない入力
・クロスサイトリクエストフォージェリ
・URLリダイレクト攻撃
・HTTPレスポンスの分割
・危険なファイルアップロード
・ログの偽装
・ハードコーディングされたパスワード
・DoS攻撃
■対応言語
Java、Apex and VisualForce、C#、Ruby、JavaScript、VBScript、VB.NET、Perl、ASP、HTML5、VB6、Python、PHP、Groovy、C/C++、Scala、Android (Java)、PL/SQL、Objective C、GO、Swift
■サポートするセキュリティガイドライン
OWASP Top 10、SANS、PCI DSS、HIPAA、CWE COMPATIBLE、BSIMM