Web Security Checker とは

Classic/VPC環境で利用できます。

Web Security Checkerを簡単に理解・活用できるように診断方式や診断レポートなどの概念について説明します。

ウェブ脆弱性

ウェブアプリケーションのソースコードと動作方式などに存在するセキュリティ脆弱性のことで、ウェブサービスの運営または利用の際に発生する可能性があります。Web Security Checkerは、実際にハッカーが最もよく利用する脆弱性と攻撃が成功した場合、被害が大きい脆弱性を重点的に診断します。現在は XSS、SQL Injection、XXE、SSRFなどに対する診断が可能で、診断可能な脆弱性は引き続きアップデートされる予定です。診断可能な脆弱性に関する詳しい説明はポータルの サービス > Security > Web Security Checkerメニューをご参照ください。

診断方式

Web Security Checkerの診断は以下のとおりです。

• 診断に必要な情報をコンソールで入力すれば、診断が開始します。診断対象の情報を入力する際、http://、https://を含む URL形式で入力します。
• 対象ウェブサイト内の URLをクローリングし点検対象の URLを抜け目なく収集します。
• 収集された URLを対象として精巧に構成された HTTPパケットを転送し、リクエスト値を分析して勢弱点を検知します。
• 検知された脆弱性に対する適切な対応策を提案します。
• 全過程が100%自動化で行われ、人間が見つけにくい脆弱性まで速やかで細かく見つけ出すことができます。

診断レポート

脆弱性診断が終了すると、診断結果を集約したレポートを受けられます。レポートは診断対象、診断時間、ログイン情報など、診断作業に関する情報と脆弱性の種類、危険度、個数などを含みます。また、見つかった脆弱性に関する詳細説明と見つかった場所、脆弱性検証に使われた HTTPパケットと共に詳細な対応策についても記述されています。
診断レポートはコンソールにアクセスして確認でき、診断作業作成の際、通知を設定した場合、メールや携帯の SMSで診断レポート作成に関する通知を受けることができます。