Acunetix Web脆弱性スキャナ
Acunetix Web脆弱性スキャナ
セキュリティ IP系 試験・測定・監視・検証機
Acunetix Web脆弱性スキャナによるWebセキュリティの監査
クラウドコンピューティングの普及とブラウザ技術の進歩により、Webアプリケーションはビジネスプロセスの中心的要素となった反面、ハッカーにとって恰好のターゲットとなっています。企業・組織はWebアプリケーションのセキュリティを優先的ではなく必須要件とする必要があります。
そこで、Acunetix Web脆弱性スキャナの出番です!
ファイアウォールでは不十分
ファイアウォール、SSLなどを用いたネットワークの防御は、Webアプリケーションのハッキングに対しては無意味です。Webへの攻撃は、HTTPとHTTPSプロトコル上で実行されます。これは正規ユーザのコンテンツ配信に使用されているプロトコルです。また、多くのWebアプリケーションはオーダーメイドされたものであり、市販ソフトウェアに比べてテストが足りません。したがって、従来のネットワークベースの攻撃に比べ、Web攻撃の影響はより深刻です。
- Acunetixは、4500を超えるWebアプリケーションの脆弱性検出に対応しています。
- また、オープンソースソフトウェアや派生アプリケーションに対応しています。
- 重要な脆弱性は100%の正確さで検出します。
自動化されたWebアプリケーションセキュリティの技術リーダー
Acunetixは以下のような革新的な技術により自動化されたWebアプリケーションセキュリティテストのパイオニアです。
- DeepScanテクノロジ - クライアントサイドでAjaxが多用されたシングルページアプリケーション(SPA)に対応したクローラ。
- 業界で最も高度なSQLインジェクションと、DOMベースの高度なXSS(Cross-site Scripting)の検出に対応したXSSテスト。
- AcuSensorテクノロジ - ブラックボックス型テストとソースコードの中に組み込まれたセンサからのフィードバックを結合。
迅速、正確、使いやすさ
マルチスレッド化された超高速クローラとスキャナで、途切れることなく数十万ページをクロールすることができます。
- WordPressの脆弱性検出 - WordPressをスキャンし、WrodPress本体、テーマ、プラグインの1200以上の既知の脆弱性をスキャンします。
- 複雑なパスワードで保護されたエリアの自動スキャンを可能にする、ログインシーケンスレコーダ。
- 内蔵の脆弱性管理機能で脆弱性情報を確認。各種技術・コンプライアンスレポートを簡単に生成できます。
まずクロール。そしてスキャン。AcunetixはHTML5とJavaScriptサイトを分析します。
クロールできなければスキャンはできません!
AcunetixはDeepScanテクノロジにより、HTML5、JavaScript、RESTful APIを使用して開発された現代のシングルページアプリケーション(SPA)であってもクロールが可能です。Acunetix DeepScanは、たとえ最先端のWebアプリケーションであったとしても、ユーザアクションを再現しJavaScriptを実行して、実際のブラウザのように振る舞います。
DeepScanテクノロジ: 正確なクロールとスキャン
Acunetix DeepScanテクノロジ - 複雑なWeb技術を理解し、シームレスに動作可能な完全自動化されたWebブラウザです。HTML5のWebサイトをクロール・スキャンをして、実際のブラウザのようにJavaScriptを実行します。
- Ajax, SOAP/WSDL, SOAP/WCF, REST/WADL, XML, JSON, Google Web Toolkit(GWT)とCRUD操作に対応。
- Ruby on RailsやJava Framework(Java Server Faces (JSF)、Spring、Structsなど)で開発されたWebアプリケーションの分析に対応。
認証が必要なWebサイトを手間なくテスト
AcunetixはLogin Sequence Recorder(LSR)を使用してログインシーケンスを記録することで認証エリアのテストを自動化します。
LSRはスキャナが認証するために必要な一連の操作と制限を迅速かつ簡単に記録することができます。
- 複数手順/カスタム認証方式に対応。
- シングルサインオン認証に対応。
- CAPTCHA認証や多要素認証に対応。
マルウェアURLの検出
Acunetixにはマルウェア検出サービスが含まれており、マルウェアをホストするWebサイトやフィッシング攻撃に使用されているWebサイトのURLを検出します。
- スキャンしたWebアプリケーション・サイト上のマルウェアURLを検出。
- フィッシングや詐欺に使用されているURLへのリンクを識別。
- URLはGoogleとYandexのセーフブラウジングデータベースに照合。
最高のSQLインジェクションとXSS検出率
包括的かつ正確な脆弱性検出は、明らかな脆弱性から不明瞭なものまで全てを検出することができます。AcunetixはOut-of-band SQLインジェクション、DOMベースのXSS、その他3000件のWeb脆弱性を含む、SQLインジェクションとXSSの脆弱性を最も多く検出する業界のリーダーです。
SQLインジェクションとXSSの徹底的な脆弱性テスト
AcunetixはSQLインジェクションとXSSを含む数千のWebアプリケーションの脆弱性を厳密にテストします。動的アプリケーションセキュリティテスト(DAST)では、スキャナが実行できるテストの数が重要であり、スマートにアプリケーションをクロールしてスキャンできるかどうかは二次的な問題です。
Acunetix DeepScanテクノロジ:
- HTML5 Webアプリケーションをクロールしてスキャンし、実際のブラウザのようにJavaScriptを実行します。
- 重要度の高い脆弱性に対して業界最高の検出率を誇ります。
- 高度なDOMベースのクロスサイトスクリプティングを確実に検出します。
自動化された高度なDOMベースのXSS脆弱性テスト
DOMベースのXSSは、Webアプリケーションのクライアントサイドスクリプトがユーザの送信したデータをDocument Object Model(DOM)に書き込む際に可能となります。データはWebアプリケーションによってDOMから読み取られブラウザに出力されますが、データ処理が不十分であった場合、攻撃者はペイロード(任意のコード)を挿入することが可能であり、DOMの一部として格納されたコードは、DOMから読み出されたときに実行されます。
この高度なタイプのXSSの検出は非常に困難です。
- Acunetixは高度なDOMベースのXSS脆弱性を幅広くスキャンします。
- DOMベースのXSSソースとシンクの評価をレポートします。
- DOMベースのXSSによって挿入されたペイロードのスタックトレースを提供します。
ブラインドXSS、XXE、SSRFおよびメールヘッダインジェクションの検出
Out-of-band脆弱性を検出しようとしたとき、従来の脆弱性の検出方法では不十分です。つまり、テスト中にスキャナに応答しない脆弱性を検出することです。Out-of-band脆弱性を検出するためには、Acunetix AcuMonitorなどの仲介サービスが必要です。
- ブラインドXSSとXML外部エンティティ(XXE)インジェクションに対応。
- サーバーサイドリクエストフォージェリ(SSRF)とHostヘッダインジェクションに対応。
- メールヘッダインジェクションとパスワードリセットポイズニングに対応。
効率的なWebアプリケーションセキュリティ:低偽陽性を保証!
従来のWebアプリケーションセキュリティテスト(ブラックボックステスト)では、実行中にコードがどのように動作するかは知りえませんでした。また、ソースコードを解析しても、コードの実行中に何が起こるのかは必ずしも理解できるとは限りません。
ブラックボックステストとホワイトボックステストを組み合わせることで、スキャンの検出率は向上し、修正も容易となり、効率的なWebアプリケーションセキュリティが確保されます。
AcuSensorによるインタラクティブなセキュリティテスト
Acunetix独自の.NET、PHP、Java向けAcuSensorテクノロジは、ソースコード内に組み込んだセンサを通じてダイナミックスキャンを強化が可能です。AcuSensorはソースコードの実行中にスキャナに対してフィードバックを送信します。
- スキャナのグレーボックス(IAST)スキャンを実行可能にするサーバサイドコンポーネント。
- 実行中のWebアプリケーションのソースコードを調査します。
- バックエンドアプリケーションをクロールする場合でも100%のクロールカバレッジを提供します。
- ブラックボックススキャン中に通常発見できない非表示入力を見つけてテストします。
Line of Code Visibility
カテゴリ | 確度 | |
---|---|---|
SQLインジェクション | 100% / 0% FP |
|
XSS (反射型) | 100% / 0% FP |
|
出典元 - WAVSEP Web Application Scanner Benchmark 2016
AcuSensorは重要度の高い脆弱性に対する脆弱なコード行を示し、デバッグに関わる情報をレポートします。これにより修正の効率は大幅に向上し、開発者の修正作業をサポートします。
- 脆弱なコード行を示します。
- SQLインジェクションの脆弱性に関するSQLクエリを表示します。
- 迅速な修復を可能にします。
- 修正が必要なものとその場所を特定します。
最小限の偽陽性率
存在しない脆弱性を検出すること(偽陽性)は避けなければなりません。
偽陽性は、自動セキュリティテストの信頼性を低下させ、脆弱性を発見して修正しようとする開発者の時間を無駄にします。
- Acunetixは業界で最も低い偽陽性率と同時に、偽陰性率も低く抑えています。
- 重要度の高い脆弱性は自動的に検査を実行します。
- 正確なスキャン結果により、検出された脆弱性の確認作業低減に寄与します。
脆弱性管理と企業コンプライアンスレポート
脆弱性管理(VM)は脆弱性を発見、判定、修正するための仕組みです。Acunetixは高度なVM機能をコアに組み込み、統合ビューではデータに基づいてリスクに優先順位付けを行います。また、スキャナの結果は他のツールやプラットフォームに統合することが可能です。
統合ビューでの脆弱性管理
有用なセキュリティプログラムを構築し維持するためにはチームワークとコラボレーションが必要です。Acunetixのマルチユーザ機能、マルチロール機能によるアクセス制御によって、チームの柔軟性と生産性を向上させます。
- 企業のセキュリティポリシーをまとめる統合ビュー。
- 煩雑なPDFとExcelによるアプリケーションセキュリティ管理を排除します。
PDFを使わない、問題のトラッキング
開発チームは、バグを修正し、新機能の進捗状況・期限を追跡するために、チケット担当者の作業負荷を管理する必要があります。重要なセキュリティ課題が300ページにもまたがるPDFを開発者に渡すことになれば、それは非生産的であり、コミュニケーションの障壁となります。
- Atlassian JIRA、GitHub、Microsoft Team Foundation Server(TFS)と連携。
- 履歴データの管理、傾向分析ツール、および優先順位付けツールを提供します。
- ソフトウェア開発とライフサイクルに統合されることで、修正に掛かる時間と作業量を削減します。
高度な管理とコンプライアンスレポート
Acunetixは、セキュリティの調査結果を内部の経営陣や規制当局に共有できるレポートを生成します。レポートは、特定の単一スキャン、特定のターゲット、あるいはスキャンやターゲットの任意グループ毎に生成できます。
- 詳細な技術レポートや管理レポートを簡単に生成できます。
- PCI DSS、OWASP Top 10、ISO 27001、HIPAAなどのコンプライアンスレポート形式をサポートしています。
WordPressのセキュリティが心配ですか?Acunetixの出番です!
インターネット上のWebサイトは24%以上がWordPressで構築されています。
WordPressのセキュリティは組織のセキュリティ保護体制において、ますます重要な要素になりつつあります。
しかし残念な事に、何千ものWordPressプラグインには重大な脆弱性が存在し、攻撃者がWordPress管理インタフェースにアクセスできる可能性を残しています。
脆弱なWordPressプラグインをスキャンする
AcunetixはWordPressを識別し、WordPressプラグインとWordPressのコアの脆弱性に対するセキュリティテストを実施します。検出されるWPプラグインは、プラグインの説明、バージョン番号、更新可能な最新バージョンなどを含んだ、WordPressプラグインナレッジベースにリストされています。
- 4000以上の脆弱なプラグインと脆弱な設定をスキャンします。
- 脆弱なWordPress管理者パスワード、WordPressユーザ名の列挙、wp-config.phpバックアップファイルをチェックします。
- プラグインに偽装されたマルウェアや古いバージョンのプラグインを検出します。
WP設定ファイルConfiguration File Disclosure and Username Enumeration
管理者は、特定の設定変更を行う場合、WordPressインタフェースではなく、wp-config.phpを直接編集する必要があります。
これを行うには、通常は手動でファイルを変更する前にバックアップを作成します。
ただし、バックアップのファイル名が推測された場合、誰でもアクセスが可能になります。
- AcunetixはいくつかのWordPress設定をチェックします。
- WordPressアカウントのユーザ名列挙のテストを実行します。
- パスワード辞書とleetspeakに基づいて脆弱なパスワードを検出します。
WordPressだけではない
WordPressに続いて、Joomla!、Drupalは最も広く導入されているコンテンツ管理システム(CMS)であり、それぞれの脆弱性や誤設定に関する情報を保有しています。
- Joomla!、Drupal、Magentoの脆弱なバージョンを検出します。
- Joomla!、Drupal、Magentoの既知の脆弱性や誤設定をテストすることができます。
- WordPressのハックを防ぐヒントを提供します。
Acunetixのオンラインネットワークセキュリティスキャナの主な機能
包括的なセキュリティ監査では、公開されているネットワーク資産の境界点を詳細に検査する必要があります。Acunetixは、定評のあるOpenVASスキャナをAcunetix Onlineに統合し、使いやすいシンプルなクラウドベースのサービスから、Webアプリケーションのセキュリティテストとシームレスに統合された包括的な境界ネットワークセキュリティスキャンを提供しています。
境界ネットワークサービスのスキャン
依然として情報漏洩の主な原因は、安全でない境界ネットワークです。境界は即ち、セキュリティやネットワークサービスの可用性を損なう可能性のある脆弱性、誤設定、その他のセキュリティ上の脅威から保護するための、ネットワークに関して最も重要な領域の一つです。
Acunetix Onlineは、攻撃者があなたのネットワークの境界を見ているのと同じ視点を提供します。
以下のように使用します:
- 開いているポートと実行中のサービスを発見する。
- 50000を超える既知のネットワーク脆弱性および誤設定をテストします。
ネットワークの脆弱性をテスト
Acunetixはネットワークの脆弱性をスキャンし、Acunetix Onlineダッシュボードに結果を表示します。また、ネットワークセキュリティレポートを簡単に生成できます。
- ルータ、ファイアウォール、スイッチ、およびロードバランサのセキュリティを評価します。
- FTP、IMAP、データベースサーバ、POP3、Socks、SSH、Telnetの脆弱なパスワードをテストします。
- DNSゾーン転送、オープンリゾルバDNS、DNSキャッシュポイズニング攻撃をテストします。
- 誤って構成されたプロキシサーバ、脆弱なSNMPコミュニティ名、TLS/SSL暗号その他もテストします。
誤ったネットワークセキュリティ構成の検出
Acunetix Onlineは、機密データの漏洩、サービス拒否、または不正アクセスの可能性のある、ネットワークセキュリティの誤った構成を幅広く検出できます。
Acunetix Onlineテストでは以下をテストできます:
- 匿名FTPアクセスで書き込み可能なディレクトリ
- 誤った構成のプロキシサーバ
- 脆弱なSNMPコミュニティ名
- 脆弱なTLS/SSL暗号
侵入テストとWAF設定でWebセキュリティをさらに強化
Acunetixには、侵入テスト担当者向けの高度なツールが含まれており、外部ツールとビジネスロジックWebアプリケーションのテストを支援するツールの両方を統合したWebセキュリティテストを実施できます。
スキャンを自動化しましょう
無料でダウンロードできる手動の侵入テストツールは、テスターだけでなく、来たるセキュリティ研究者の役にも立つでしょう。Webアプリケーションの論理的な欠陥を手動でテストする機能があります。
- オンザフライでHTTPトラフィックの傍受、ログ、書き換えを行います。
- ファズテストによる検証と無効またはランダムデータの処理を行います。
- ブラインドSQLインジェクションの脆弱性をエクスポートし、データベースの自動抽出を実施します。
- Acunetix HTTPエディタ、Telerik Fiddler、Portswigger BurpSuite、およびHAR(HTTPアーカイブ)ファイルから手動クロールデータをインポートします。
自動Webアプリケーションファイアウォール(WAF)設定
Acunetixは一般的なWAFと連携し、適切なWebアプリケーションファイアウォールルールを自動的に作成し、スキャナが検出する脆弱性を狙った攻撃からWebアプリケーションを保護します。これにより、重大な脆弱性が修正されるまで、その脆弱性の悪用を一時的に防ぐことができます。
- Imperva SecureSphere
- F5 BIG-IP Application Security Manager
- FortiWeb WAF
連携と拡張性
Acunetixは、強力なRESTfulアプリケーションプログラミングインターフェイス(REST API)を備えています。REST APIを使用すると、スキャンターゲット、スキャン、脆弱性、レポートに対して、従来のHTTPリクエストを利用したプログラマブルで簡単な方法でアクセスと管理が可能になります。
- 直感的で強力なAPIエンドポイント。
- 簡単に結果の取得、アクションを実行できます。
- Acunetixを複雑なカスタムワークフローとプロセスにシームレスに組み込めます。