商品情報 > 通信品質|セキュリティ > acunetix

acunetix

 Web Vulnerability Scanner

Webサイト脆弱性診断ツール

情報漏洩の攻撃手段である SQLインジェクションと

XSS(クロスサイトスクリプティング)攻撃による

脆弱性の検知率 100% / 誤検知率 0%

調査元:2012 Web Application Vulnerability Scanners Benchmark

  •   acunetix│製品概要

    Acunetix Web Vulnerability Scanner (WVS) はWebサイトの安全性を客観的に診断するソフトウェアです。Acunetix WVS はWebサイトに潜んでいる脆弱性を発見して、その対策方法や攻撃手法を詳しく通知して、安心したwebサイトの運営や開発をサポートいたします。

    Webサイトの70%は脆弱性があると報告されています。

    インターネット通信において、セキュリティを強化するファイアウォール、SSL通信は一般公開しているWebサイトへのアクセスを防御できません。そのため、いつでも世界中の悪意を持ったユーザからアクセスされます。

    Web作成者、管理者は周知している事だと思いますが、脆弱性が潜んでいるWebサイトを公開していると、悪意あるサイト利用者に、個人情報、クレジットカード情報等の有益なデータの盗聴や削除等の被害を受ける可能性があります。もし、これらの被害に遭うと、Webサイトのサービス利用者へ迷惑・信頼性低下や有益な情報配信が滞ることになります。

    攻撃方法として、XSS(クロスサイトスクリプト)・SQLインジェクション・HTTPヘッダインジェクションといった様々な方法があります。これらの攻撃対策には攻撃スクリプトを無効化させるサニタイジング等について、Webサーバ側でWebアプリケーションのセキュリティコーディングやサーバのセキュリティ設定を実施する必要があります。

    しかし、Webサイトは人間の手作業やWeb作成ツールを利用して作成されるため、Web作成者の攻撃対策ミスやツールの不具合が原因で脆弱性サイトを作成している可能性があります。その証拠として、今日まで被害がゼロになっていません。

     

    Acunetix は、Webサイトのセキュリティにおける、世界中のリーダであり、Webサイトセキュリティ診断のパイオニアでもあります。 Webサイト攻撃が注目されてきた2000年頃よりも前の1997年から、この問題に力を入れているため、他社に負けない独自ノウハウを持っています。

     

  •      │検査内容

    ●SQLインジェクション攻撃による脆弱性検査

    ●クロスサイトスクリプティング攻撃(XSS)による脆弱性検査

    ●パスワード強度の検査

    ●GoogleHacking検査

      監査Webサイト上でGoogle Hacking Databaseに登録されている検査クエリーを実行して、

      重要情報等をGoogleの検索エンジンを用いて取得できるかを確認する。

    ●HTTPヘッダインジェクション、メールヘッダインジェクションの検査

    ●Webアプリケーションファイアウォール用のルールを自動作成

    ●侵入テスト(ペネトレーションテスト)

      ・HTTP Editor : Construct HTTP/HTTPS リクエストとWebサーバー応答の分析

      ・HTTP Sniffer : ホストとWebサーバ間のアクセスをインターセプトして、編集、記録する

      ・HTTP Fuzzer : 有効値の入力と例外を操作とランダムデータを有効

      ・WVS Scripting tool : 侵入テスト用のスクリプトを記述。

      ・Blind SQL Injector : An automated database data extraction tool

       (侵入テスト用のスクリプトを手動で作成)

  •      │サポート機能

    ●プロテクトサイト検査

    Webフォームへのログイン認証や情報入力後、及びCAPTCHA(キャプチャ)等の利用者の情報提供後に表示されるWebサイトの検査を簡単に実現できるレコーディング機能をサポートしています。

     

    ●カスタムエラーページ(HTTP-Status Code 404) 検知

    Webサイトによっては検査するWebページが存在しない場合(HTTP Not Found)、Webブラウザのデフォルトのエラー画面ではなく、Web管理者が別ページに誘導するリンクを設けた独自サイト(カスタムエラーページ)を表示しています。カスタムエラーページを表示する場合、HTTPステータスコードは404ではなく、200であるため、ページの存在無しを通常の有効なページと認識してしまいます。Acunetix WVSのカスタムエラーページ検知は検査しているサイトがエラーページか有効ページかの判定を自動的に行うことができます。また、カスタムエラーページを判定するパターンを独自に設定することも可能です。

     

    ●スケジュール機能

    任意の時間帯に監視Webサイトの脆弱性検査を定期的に実施できます。検査結果をメールで通知することも可能です。

     

    ●レポート機能

    調査結果の統計値グラフ、概要、詳細情報を様々なフォーマットでレポートを作成します。

    Affected Items Report , Developer Report , Executive Report , Quick Report , Compliance Reports , CWE /SANS -- Top 25 Most Dangerous Software Errors , International Standard -- ISO 27001 ,NIST Special Publication 800-53, OWASP Top10 , Payment CardIndustry(PCI) standards , Sarbanes Oxley Act of 2002, DISA STIG Web Security , Web Application Security Consortium (WASC) Threat Classificaiton

     

  •      │製品カタログ・技術仕様

"acunetix"は、Acunetix社の商標です。その他の商品名および社名は、各社の商標および登録商標です。