Webページ、APIエンドポイント、モバイルアプリの脆弱性診断からペネトレーションテストまでパッケージ化
サイバーマトリックス株式会社(本社:東京都港区、代表取締役:四柳勝利、以下サイバーマトリックス)は、Webセキュリティ診断サービスをリニューアルし、「Matrix Inspect」としてWebページからAPIエンドポイント、モバイルアプリまでサイトの環境や検査内容に応じて組み合わせが可能なパッケージ型のサービスとして提供開始します。
Webサイトのセキュリティ対策を適切に行うには、Webサイトの脆弱性を適切に把握することが重要です。脆弱性はWebサイトをホストするOSやWebサーバに存在する可能性もあれば、動的なプログラムで開発されたWebコンテンツ上に存在するかもしれません。
また、APIで構成されたアプリケーションでは、クライアントサイドのセキュリティが強化されていても、APIの認証・認可の仕組みに脆弱性がありなりすましが可能な状態になっている可能性もあります。
「Matrix Inspect」では標準でプラットフォームからWebコンテンツまで含めて検査を実施します。
脆弱性診断からペネトレーションテストまで
脆弱性を把握すると同時に特定の脆弱性から脅威を引き起こすことが可能か把握するために、検査を深めることは脆弱性対応の優先度を考慮するために役に立ちます。
例えば、XSSの脆弱性が検出され、XSSの脆弱性からセッション情報を抜き取り、その情報からセッションを乗っ取ることができ、最終的にあるユーザーになりすますことができれば、情報を搾取することが可能になるかもしれません。
このように単にXSSの脆弱性を把握するだけでなく、検出した脆弱性が情報漏洩や改竄、サービス停止など引き起こすことができるか検査を深めるため、ペネトレーションテストも提供しています。
また、検出した脆弱性がWAFをバイパスし、脅威を引き起こすことが可能か行う検査もペネトレーションテストで実施することができます。
