現在地

Asial トップページ > Chorizo! ホーム

アシアル株式会社 事業紹介 Chorizo!

Webアプリケーションの高機能セキュリティスキャナ

販売終了のお知らせ

弊社は、「Chorizo!」を提供しているMAYFLOWER社より、「Chorizo!」の日本における販売を代理しておりましたが、2008年2月末日をもって、日本のお客様への新規販売を休止することとなりました。

突然のお知らせで大変申し訳なく存じますが、何卒ご理解賜りますようお願い申し上げます。 これまでのご愛顧、誠にありがとうございました。

なお、現状利用いただいているサービスの利用方法や契約条件が変更されることはございませんので、引き続き、Chorizo!をご利用いただけたらと思います。

Webアプリケーションの脆弱性診断ソフト

Chorizo! - Webアプリケーションのセキュリティスキャナ

脆弱性対策 - Chorizo!

Web 2.0という言葉に代表されるように多くのビジネスサービスがオンライン化され、情報システムは便利になりましたが、Web 2.0は同時にセキュリティ上のリスクが高まるという側面を持ち合わせ、企業・個人のデータ・情報がWeb上から漏洩する危険性も大きくなっています。Webアプリケーションの脆弱性が、情報漏洩の一因となる事例も多く見受けられます。(詳しくは脆弱性の現状をご覧下さい)

Webアプリケーションの脆弱性を解消するには、定期的に繰り返し脆弱性の診断を行い、継続的に対策を行うことが求められます。

Chorizo! はこのようなセキュリティ問題に対処するためのソフトです。継続的なセキュティチェックを通じてWebアプリケーションの脆弱性などの問題についての詳しい情報や一般的な解決方法を知ることができ、高水準で脆弱性の対策が可能となります。

     

セキュリティを専門としている企業に何度もチェックをお願いすると膨大なコストがかかりますがChorizo!は手ごろな価格で繰り返しセキュリティチェックができます。

本体価格(年間ライセンス契約) ¥52,000 /年 (初年度)
¥62,800 /年 (2年目以降)

資料のダウンロード

Chorizo! 説明資料 ダウンロード(PDF)Chorizo! 説明資料

Chorizo! の主な特徴

簡単・操作が設定

専用ソフトウェア不要の簡単設定

Chorizo!はWebサービス形式で提供されます。Web上の管理画面で、スキャンしたいサイトのホスト名を入力し、生成された認証ファイルをWebサーバーにおくことで設定完了です。クライアント側やサーバー側で何らかのソフトをインストールする必要はなく、環境に依存せずに実行することができます。

開発から運用時まで定期的なセキュリティ対策が可能

専用ウィンドウを使用してスキャン開始

Chorizo!は運用時のみならず開発時にもスキャンをかけセキュリティ診断を行うことができますので、アプリケーションの運用前の段階でセキュリティ問題に対処できます。開発の初期段階でセキュリティの対策を行うと、後々の対処作業が軽減され、開発のコストが抑えられると言われています。また、契約中は何度でも診断を行えますので日々発生する脆弱性の問題にも対処できます。

開発段階、運用時と定期的に脆弱性の診断を行うことで、高い水準でのセキュリティ対策が可能となります。

詳細な分析結果とその対策

細な分析結果とその対策

スキャンした結果はChorizo!ウィンドウ上に一覧表示されます。レポート表示では、検出された各脆弱性の危険度や内容がレポートしてまとめられる他、対策方法(コード例)が示されます。

Morcilla PHP エクステンションによる詳細スキャン

Mocilla PHP エクステンションを使用することで、直接サーバ上のコードがチェックできます。利用するには、他のPHPエクステンションと同様にサーバにインストールします(詳細はこちら)。

セキュリティスキャンの対象

発見できる主な脆弱性とその特徴

XSS(クロスサイトスクリプティング)(UTF7-XSSを含む)
クロスサイト(サイトを横断した)スクリプティング(スクリプトの処理)。外部からスクリプトを混入させることが可能性となる脆弱性で、ユーザーがWebサイトアクセスしているつもりでも、別のサイトから埋め込まれた(悪意のある)スクリプトを実行してしまう可能性が生まれます。これによりそのWebサイト以外に(サイトを越えて)情報を送信することが可能となり、個人情報の漏洩に繋がる危険性があります。
SQLインジェクション
アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作することが可能となる脆弱性をさします。これによりデータベースに不正なデータを挿入したり、データベースの情報が漏洩するといった危険性が生まれます。
CSRF(クロスサイトリクエストフォージェリ)
Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行なわせる攻撃手法を言います。これによりオンラインショップで知らないうちに買い物をさせられたりしてしまう危険性があります。大手過去にはSNS運営企業が過去に攻撃対象となり被害を受けました。
パラメーター改ざん
アプリケーションがURLパラメータやhidden、Cookieなどに入れた値を書き換えることを許してしまう脆弱性です。これによりサーバに渡されるデータを改ざんすることを許してしまい、商品の価格を改ざんされたりユーザーの個人情報が入手される可能性が生まれます。

Morcilla PHPエクステンションによるスキャン

  • 脆弱性を発生させているソースコード上の問題個所を行番号表示
  • PHPの各種関数をフックし入出力をチェック
  • evalされたコードの脆弱性チェック
  • include/require/include_once/require_onceにより発生する脆弱性のチェック
  • 未定義なグローバル変数の存否チェック
  • スーパーグローバル変数$_GET/$_POST/$_COOKIES/$_REQUESTの呼び出しの際の存否チェック

ページの先頭へ