ペネトレーションテスト

Webアプリケーションペネトレーションテスト、そしてその間のあらゆるアプリまで

現代のアプリは広大な攻撃対象領域です。Webのフロントエンド、モバイルクライアント、そしてその背後のAPI。SubRosaはそのすべてを対象に、スキャナが見逃すビジネスロジックの悪用やアクセス制御の欠陥を検証し、悪用可能なリスクと実際の事業への影響に焦点を当てます。

Web · モバイル · API · ソースコード · OWASP Top 10

Webアプリペネトレーションテストとは

Webアプリケーションペネトレーションテストとは何か

Webアプリケーションペネトレーションテストとは、アプリケーション、そのフロントエンド、API、認証、ビジネスロジックに対して実地で行うセキュリティ評価であり、攻撃者が悪用し得る脆弱性、すなわちアクセス制御の不備、インジェクション、認証バイパス、アカウント乗っ取りのようなロジック悪用を発見するものです。自動スキャンとは異なり、実際の攻撃者が試す各種フローやエッジケースを、権限や状態をまたいで検証し、攻撃者が実際にどのデータや操作へ到達できるかを証明します。

テスト対象

Web、モバイル、そしてその背後のAPI

貴社環境のあらゆるアプリケーションの種類と層にわたる専門的なテスト。

Webアプリケーションテスト

OWASP Top 10を完全に網羅し、加えて認証、セッション、ビジネスロジックのテストを実施します。権限や状態をまたいだアカウント乗っ取り、権限昇格、データ露出を対象とします。

APIセキュリティテスト

RESTおよびGraphQL APIを、OWASP API Top 10に照らして検証します。オブジェクトおよび機能レベルの認可の不備、マスアサインメント、過剰なデータ露出を対象とします。

モバイルアプリケーションテスト

iOSおよびAndroidの評価では、API通信、ローカルのデータ保存、そしてコンパイル済みアプリのリバースエンジニアリングを網羅します。

ソースコードレビュー

手動と自動によるソースコードレビューで、リリース前に脆弱性、安全でない実装パターン、アーキテクチャ上の問題を捉えます。

SubRosaが選ばれる理由

スキャナを超え、ロジックの中へ

ビジネスロジック重視

自動ツールはロジックの悪用を見逃します。私たちは、いかなるスキャナも見つけられない、攻撃者が突くフロー、すなわちアカウント乗っ取り、認可バイパス、状態の改ざんを検証します。

フルスタックの網羅

UI、API、バックエンドの各層にわたって検証し、条件を連鎖させることで、深刻度の低い欠陥がいかにして完全な侵害へと発展するかを示します。

開発者がすぐ使える指摘事項

すべての指摘事項には再現手順、影響を受けるコードパス、明確な修正ガイダンスが付き、貴社のエンジニアが直ちに対応できます。

すべての脆弱性を、修正まで追跡。

発見から修正へ。

アプリケーションテストの指摘事項はSableに集約され、優先順位付け、担当者への割り当て、オープンから再テスト完了までの追跡がなされます。修正対応は軌道から外れず、何一つ取りこぼしません。

Sable上のアプリ指摘事項
Application findingsWeb · API · Mobile
  • Critical
    Broken object-level auth (BOLA)
    API
    Open
  • High
    Account takeover via reset flow
    Web
    In progress
  • High
    Mass assignment on user object
    API
    Retested
  • Medium
    Secrets in local storage
    Mobile
    Open
OWASP Top 10 mappedReproduction + fix

攻撃者が試す前にアプリを守る。

Webアプリケーションペネトレーションテストを予約し、スキャナでは決して見つからないビジネスロジックとアクセス制御の欠陥を突き止めましょう。