スマホアプリセキュリティ診断サービス| No | 診断項目(脆弱性名称) | 説明 | 危険度 | 想定被害 | android | ios | |
|---|---|---|---|---|---|---|---|
|
情報 漏えい |
アプリ 改ざん |
||||||
| 1 | 端末内データ改竄(メモリハック) | スマホアプリ端末内のファイル(Database,Preference等)などにパスワードや個人情報などのデータを平文で保存していないことを確認します。 | 高 | 〇 | 〇 | 〇 | 〇 |
| 2 | 端末内データ操作等の不備(データハック) | スマホアプリ端末内データを改竄することによる不正行為(チート、残高偽装、購入履歴偽装等)の可否を確認します。 | 高 | 〇 | 〇 | 〇 | 〇 |
| 3 | パーミッションの設定不備 | 重要情報を含むファイルが他のスマホアプリからアクセスできるパーミッションになっていないかを確認します。 | 低~高 | △ | △ | 〇 | 〇 |
| 4 | ログへの機密情報の出力 | ログにユーザの個人情報/機密情報の出力の有無を確認します。 | 低~高 | △ | △ | 〇 | 〇 |
| 5 | アクセス制御不備 | システム情報の開示、サーバエラーメッセージ等を通じ不正アクセスの実施有無を確認します。 | 中~高 | △ | △ | 〇 | 〇 |
| 6 | 通信データ解析 | HTTP以外のプロトコルが使われている場合は解析し、脆弱性の有無を確認します。 | 高 | 〇 | 〇 | 〇 | 〇 |
| 7 | 不正通信挿入 | 外部サーバへの個人情報/機密情報の不正送信の有無を確認します。 | 低~高 | 〇 | △ | 〇 | 〇 |
| 8 | リバースエンジニアリングの可否 | リバースエンジニアリングによる脆弱性の解析を行います。 | 中~高 | 〇 | 〇 | 〇 | 〇 |
| 9 | リバースエンジニアリングによるソースコード解析 | 逆コンパイルしたソースコード内に暗号化キーや隠し機能、隠しURL等の情報がハードコーディングされていないかを確認します。 | 高 | 〇 | 〇 | 〇 | 〇 |
| 10 | クロス・サイト・スクリプティング | サーバへの通信にXSSの実施有無を確認します。 | 高 | 〇 | 〇 | 〇 | 〇 |
| 11 | クロス・サイト・リクエスト・フォージェリ | スマホアプリの入力となるHTTPレスポンスをキャプチャ・改竄することによってスマホアプリの脆弱性診断を行います。 | 高 | △ | 〇 | 〇 | 〇 |
| 12 | クロス・サイト・トレーシング | アプリケーションに不要なメソッドが存在していないかを確認します。 | 中 | 〇 | △ | 〇 | 〇 |
| 13 | コンテンツの詐称 | スマホアプリの入力となるHTTPレスポンスをキャプチャ・改竄することによってスマホアプリの脆弱性診断を行います。 | 中 | △ | 〇 | 〇 | |
| 14 | セキュアでない cookie の使用 | cookieの取扱いが適切であるかの確認を行います。 | 低 | 〇 | 〇 | 〇 | |
| 15 | SQLインジェクション | 内部データのパラメータに対する操作においてSQLインジェクションの実施やサーバ間との通信における電文のSQLインジェクションに対する耐性と実施の有無を確認します。 | 高 | ○ | ○ | 〇 | 〇 |
| 16 | HTTPヘッダインジェクション | スマホアプリの入力となるHTTPレスポンスをキャプチャ・改竄することによってアプリの脆弱性診断を行います。 | 高 | ○ | △ | 〇 | 〇 |
| 17 | XMLインジェクション | 主に認証や外部通信等に用いられるXMLに対して適切に取り扱われているかの確認を行います。 | 中 | ○ | 〇 | 〇 | |
| 18 | LDAPインジェクション | スマホ端末とサーバ間の認証において適切に管理されているか、不正文字列の挿入による挙動の確認を行います。 | 中 | △ | 〇 | 〇 | |
| 19 | コマンドインジェクション | スマホ端末とサーバ間の認証において適切に管理されているか、不正文字列の挿入による挙動の確認を行います。 | 高 | 〇 | 〇 | 〇 | 〇 |
| 20 | バッファ・オーバフロー | スマホ端末やコンテンツ、サーバ通信データにおいて許容値を超えるデータを送信した際の挙動や脆弱性の確認を行います。 | 高 | 〇 | 〇 | 〇 | 〇 |
| 21 | ディクショナリアタック | idや特定のidによる推測可能なアイテム等の取扱いを確認し、予期せぬ挙動が発生しないか、脆弱性の確認を行います。 | 低~高 | ○ | △ | 〇 | 〇 |
| 22 | パラメータ改ざん | パラメータ推測やパラメータ改ざんによる脆弱性が実施できないかを確認します。 | 低~高 | ○ | 〇 | 〇 | |
| 23 | バックドア、デバッグオプション | 開発中に利用したデバックオプションや管理者用に用意したバックドア類の存在有無を確認し、利用できないかを確認します。 | 高 | △ | 〇 | 〇 | |
| 24 | スクリプトの実行 | 悪意あるスクリプトの実行によるスマホ端末やサーバに与える影響を確認します。 | 低~高 | ○ | ○ | 〇 | 〇 |
| 25 | 機能の悪用 | スマホ端末内のアプリ操作により機能の悪用が実施できないかを確認します。 | 中~高 | ○ | △ | 〇 | 〇 |
| 26 | 不適切なプロセス検証 | スマホ端末内やサーバにおける不適切なプロセスの存在やプロセス改ざんによる脆弱性を確認します。 | 低~高 | △ | 〇 | 〇 | |
| 27 | セッションの推測 | sessionの推測によるなりすましやスマホアプリ利用における不具合・脆弱性の有無を確認します。 | 中 | △ | △ | 〇 | 〇 |
| 28 | 承認が不適切 | スマホアプリ終了や起動等の承認手続きが適切か、他項目と合わせて不具合・脆弱性の有無を確認します。 | 中 | △ | △ | 〇 | 〇 |
| 29 | セッション期限が不適切 | session期限が適切に管理されているか、なりすましや改ざん等に利用されないかの確認をします。 | 高 | △ | △ | 〇 | 〇 |
| 30 | セッションの固定 | 固定sessionや破棄されるべきsessionの再利用などによるなりすましや他人のアカウントへの影響等の脆弱性を確認します。 | 高 | ○ | △ | 〇 | 〇 |
| 31 | セッションの盗難 | sessionの盗難によるなりすましやスマホアプリ利用における不具合・脆弱性の有無を確認します | 高 | ○ | △ | 〇 | 〇 |
お気軽にお電話でも問い合わせください
03-3513-7630
受付:平日 10:00~18:00
Web経由は24時間受付OK。簡単2分で問い合わせ!
診断項目