モバイルアプリ向け脆弱性手動診断サービス

AppChecker Pro

実際にハッカーが用いる攻撃手法を用い、
高い技術力をベースにしたワールドクラスの手動診断

ハッキングコンテストで優秀な成績を持つ企業との協業によりモバイルアプリに対する高い技術力をベースにしたワールドクラスの脆弱性手動診断を提供します。国内外での豊富な実績と金融向けアプリを想定した診断作業における高い信頼性が評価をいただいています。また、わかりやすく、実用性の高いレポートと、診断結果に対する対応ガイドだけではなく、指摘した脆弱性が正しく直っているかまで再度診断でフォローします。

サービスの特長

Point1モバイルアプリに対する高い技術力

  • DEFCON, CODE BLUEなどのハッキングコンテストで優秀な成績を持つ企業との協業で提供
  • 実際にハッカーが用いる攻撃手法を用いた診断
  • 攻撃者の目線で攻撃が成立するか否かまで調査

Point2診断作業における高い信頼性

  • 年間100件以上の国内海外での診断実績
  • 診断項目にOWASP Mobile Top10を採用、高いセキュリティレベルが求められる金融向けアプリを想定したフル手動診断
  • 標準化された分析チェックリストと診断作業のマネジメント
  • モバイルアプリやレポートの受渡しをセキュアな環境で実施

Point3分かり易いレポートとフォローアップ

  • 実用性の高い結果報告と対策ガイド
  • 攻撃方法と修正内容をサンプルコード付きで報告
  • 診断結果に対する対応ガイドだけではなく、指摘した脆弱性が正しく直っているかまで確認する。
    (再診断とそのフォローアップ)

診断結果の詳細報告例

Point4脆弱性の対応状況まで確認

診断結果に対する対応ガイドだけではなく、指摘した脆弱性が正しく直っているかまで再度診断でフォロー

脆弱性診断の流れ(手動診断)

モバイルアプリの手動診断項目

Android

分類 項目
Appパッケージ ソースコードの難読化
マニフェスト ファイル(Manifest File)の適切な権限設定
ソースコード上の重要情報の露出確認
App ディレクトリ
(Sandbox) 		アプリが生成するファイル上の重要データの露出確認
DBファイル上の重要データの露出確認
App実行
(プロセスメモリ・ネットワーク使用) 		平文通信内の重要データ転送可否の確認
ハッキング(Hacking Phone)(Root化)検知実装の確認
App改ざん検証機能の実装の確認
メモリ上に重要データの露出最小化設計の確認
ログ出力内容の確認
有料コンテンツの盗用可能性の確認
インテント(Intent)強制呼び出し対策実装の確認
画面キャプチャの対策実装の確認

iOS

分類 項目
APPヘッダー情報 位置独立実行形式(PIE)適用可否の確認
スタック破壊保護対策(SSP)適用可否の確認
自動参照カウント(ARC)適用可否の確認
Appディレクトリ
(Sandbox) 		ソースコード上の重要情報露出の確認
アプリが生成するファイル上の重要データ露出の確認
DBファイル上の重要データ露出の確認
ハッキング(Hacking Phone)(Root化)検知実装の確認
アプリスナップショット保存防止機能の実装の確認
App 改ざん アンチパッチ(Anti Patch)適用可否の確認
デバッガー検知機能の実装の確認
App実行
(プロセスメモリ・ネットワーク使用) 		平文通信内の重要データ転送可否の確認
ハッキング(Hacking Phone)(Root化)検知実装の確認
メモリ上に重要データの露出最小化設計の確認
ログ出力内容の確認
ランタイム(プロセス流れ)操作可能性の点検

Web API

分類 項目
情報の露出 不必要なファイル/ページの露出
不適切なログイン失敗メッセージ
コメント処理した重要情報の漏出
エラーメッセージの露出
サーバのバージョン情報の露出
重要情報の露出 重要な情報の送信における暗号化通信の使用
重要な情報の平文での露出
ソースコードの露出
ファイルダウンロードの脆弱性
ディレクトリリスティングの脆弱性
脆弱な認証及び権限昇格/権限盗用 推測可能なアカウント/パスワード
Brute-Force攻撃の脆弱性
クッキー認証の脆弱性
セッション管理の脆弱性
認証迂回の脆弱性
クロスサイトスクリプティングの脆弱性
クロスサイトリクエストフォージェリ(CSRF)の脆弱性
管理ページ及びアクセス制御の脆弱性
データへのアクセス・操作 SQL Injectionの脆弱性
LDAP Injectionの脆弱性
XPath Injectionの脆弱性
リモートによるコマンド実行 Command Injectionの脆弱性
Local File Inclusionの脆弱性
Remote File Inclusionの脆弱性
Formula Injectionの脆弱性
XXE Injectionの脆弱性
ファイルアップロードの脆弱性
その他 検証されてないRedirect/Forwardの脆弱性
不必要なHTTPメソッド許可の脆弱性
セッション タイムアウト設定の脆弱性
その他

ユースケース(利用例)

当社で提供するモバイルアプリ向け脆弱性診断サービスの具体例の一部です。
様々なモバイルアプリのタイプやデバイスなどに分けて考え実施します。

メニュー・価格

モバイルアプリ向け脆弱性手動診断サービスのメニューと価格は価格表ページをご覧ください。

モバイルアプリ向け脆弱性診断サービス AppChecker

モバイルアプリ向け脆弱性診断サービス
AppChecker

手間のかからないツール診断と専門家の手動分析の組み合わせによる高品質ですばやい分析レポートをリーズナブルな価格で提供

モバイルアプリ向け脆弱性手動診断サービス AppChecker Pro

モバイルアプリ向け脆弱性手動診断サービス AppChecker Pro

実際にハッカーが用いる攻撃手法を用い、高い技術力をベースにしたワールドクラスの手動診断

モバイルアプリ保護サービス AppProtect

次世代型モバイルアプリ保護サービス
AppProtect(DxShieid/LxShield)

次世代型モバイルアプリ保護技術でモバイルアプリをハッキングから守る

お気軽にお問い合わせ下さい

サービスに関するお問い合わせ

サービスに関するお問い合わせ(資料請求、見積り依頼、ご質問)などは、
こちらのフォームから入力をして送信して下さい。

その他のお問い合わせ

サービス以外に関するお問い合わせは、こちらのフォームから
入力をして送信して下さい。