GMOサイバーセキュリティ byイエラエ株式会社は10月11日、Web アプリケーション脆弱性診断ツール「GMO サイバー攻撃ネット de 診断 for Web アプリ」を同日リリースすると発表した。
「GMO サイバー攻撃ネット de 診断 for Web アプリ」は同社に所属するホワイトハッカーが開発したWebアプリケーション脆弱性診断ツールで、ブラウザから診断したいWebサイトのトップページのURLを入力すると、Webサイト内に存在するページの巡回から脆弱性の検知までを自動で実行する。自動クローリングで見落としがちな特定条件下でしか遷移できないページは、顧客自身で遷移方法を入力することで診断対象ページとして登録でき、複雑な分岐や画面遷移にも対応している。
同アプリはクラウドツールのためダウンロード不要で、ホワイトハッカーが最新の脆弱性情報や検知ロジックを随時反映するため、いつでも手軽に脆弱性診断が可能となる。
同アプリで検知可能な脆弱性は下記の28項目で、今後も追加を予定している。
・ディレクトリリスティング
・重要な状態データの外部制御
・既知の脆弱性が存在するソフトウェア
・平文による秘密情報の送受信
・バージョン情報の検出
・クロスサイトスクリプティング
・Cookieの不備(HttpOnly)
・送信データによる機密情報の公開
・Cookieの不備(Secure)
・任意のコマンド実行
・キャッシュ制御の不備
・不適切な入力処理
・データの信頼性についての不十分な検証
・認可制御の不備
・クリックジャッキング
・任意のコード実行
・セキュリティヘッダの不備
・バッファオーバーフロー
・情報開示
・書式文字列攻撃
・オープンリダイレクト
・整数オーバーフロー
・サービス運用妨害
・SQLインジェクション
・Cookie汚染
・パストラバーサル
・不適切な入力確認
・安全でないデシリアライゼーション
