GMOサイバーセキュリティ by イエラエは10月11日、ホワイトハッカーのノウハウを詰め込んだ手軽かつ高性能なWebアプリケーション脆弱性診断ツール「GMO サイバー攻撃ネット de 診断 for Web アプリ」をリリースしたことを発表した。
「GMO サイバー攻撃ネット de 診断 for Web アプリ」は、GMOサイバーセキュリティ by イエラエに所属するホワイトハッカーが開発したWebアプリケーション脆弱性診断ツール。ブラウザーから診断したいWebサイトのトップページのURLを入力すると、Webサイト内に存在するページの巡回から脆弱性の検知まで自動で行う。
クラウドツールのためダウンロードは不要で、ホワイトハッカーが最新の脆弱性情報や検知ロジックを随時反映するため、いつでも手軽に高精度な脆弱性診断が可能となる。
■「GMOサイバー攻撃ネットde診断for Webアプリ」診断項目(診断項目は今後も追加予定)
ディレクトリリスティング→重要な状態データの外部制御
・既知の脆弱性が存在するソフトウェア→平文による秘密情報の送受信
・バージョン情報の検出→クロスサイトスクリプティング
・Cookieの不備→送信データによる機密情報の公開
・Cookieの不備→任意のコマンド実行
・キャッシュ制御の不備→不適切な入力処理
・データの信頼性についての不十分な検証→認可制御の不備
・クリックジャッキング→任意のコード実行
・セキュリティヘッダの不備→バッファオーバーフロー
・情報開示→書式文字列攻撃
・オープンリダイレクト→整数オーバーフロー
・サービス運用妨害→SQLインジェクション
・Cookie汚染→パストラバーサル
・不適切な入力確認→安全でないデシリアライゼーション
関連リンク