スマホアプリ診断
スマホアプリ診断
iOSやAndroidアプリ等のスマホアプリにセキュリティ上の問題点がないか診断します。
【メニュー】
- クライアントアプリ診断
- API(WebView)診断
診断項目例
通信 | 意図しない通信、平文による情報送受信、SSL/TLS証明書検証の不備 |
---|---|
データ・ログ | 平文による内部ストレージへの重要情報保存、データ改ざんによる不正行為、ファイルパーミッションの設定不備、外部ストレージ(SDカード)への重要情報保存、デバッグログへの重要情報出力 |
設計・実装 | コンテントプロバイダのアクセス制御不備、公開Activity等からの重要情報の漏えい等、WebView関連の脆弱性、耐タンパー性の不足、アプリへの秘密情報埋め込み |
入出力処理 | クロスサイトスクリプティング(XSS)、SQLインジェクション、コマンドインジェクション、ディレクトリトラバーサル、ファイルアップロード、HTTPヘッダインジェクション、フィッシング詐欺サイトへの誘導、パラメータ改ざん、メールの第三者中継 |
認証 | ログインフォームに関する調査、ログインエラーメッセージの調査、ログイン・個人情報の送受信に関する調査、アカウントロック機能、ログアウト機能、認証の回避 |
認可 | 権限昇格、権限のない情報へのアクセス |
セッション管理 | Cookieのsecure属性、Cookieの有効期限、セッションIDのランダム性確認、セッション固定、セッションの強制指定、クロスサイトリクエストフォージェリ(CSRF) |
WEBサーバー設定 | 許可されているHTTPメソッド、サーバーエラーメッセージ、システム情報の開示 |
WEB 2.0 | Flashコンテンツの脆弱性、Ajaxコンテンツの脆弱性 |
一般的な脆弱性 | 既知のソフトウェア脆弱性、強制ブラウジング、ディレクトリリスティング |