インターネットを介して、Webブラウザ上で動作するアプリケーションを対象としたWebアプリケーションのペネトレーションテスト（侵入テスト）を行います。
エルフコアではWebアプリケーションのペネトレーションテストにおいて常に業界をリードし、様々なプログラミング言語や環境の脆弱性を特定します。大規模なAWS環境におけるWebアプリケーションからレガシーアプリケーションまで、世界中のデータ保護に貢献してまいりました。
数十件のゼロデイ脆弱性が公開され、私たちの調査結果がニュースに取り上げられるなど、私たちは常に一流のセキュリティテストとして証明しています。

Webペネトレーションテスト方法論

Elves Core は、構造化された方法論に基づいてテストを行います。

01. 範囲を定義する

Web アプリケーションの評価を行う前に、ElvesCoreでクライアントの明確な範囲を定義します。この段階では、評価のための快適な基盤を確立するために、ElvesCore とクライアント組織の間のオープンなコミュニケーションが推奨されます。

• 組織のどのアプリケーションまたはドメインをスキャン/テストするかを決定する
• 評価からの除外を周知する (特定のページ/サブドメイン)
• 公式テスト期間の決定とタイムゾーンの確認

02. 情報収集

ElvesCoreエンジニアは、無数の OSINT (Open Source Intelligence) とOWASP Top 10ツールとテクニックを使用して、ターゲットに関する可能な限り多くの情報を収集します。収集されたデータは組織の運営状況を理解するのに役立ち、取り組みの進行に応じてリスクを正確に評価できるようになります。対象となるインテリジェンスには次のものが含まれる場合があります

• Google によって流出した PDF、DOCX、XLSX、およびその他のファイル
• 過去の侵害/認証情報漏洩
• アプリケーション開発者によるフォーラム投稿の公開
• robots.txt ファイルの公開

03. リストアップ

この段階では、より高度な情報収集のための戦術の中でも、自動化されたスクリプトとツールを組み込みます。 ElvesCore のエンジニアは、考えられる攻撃ベクトルを綿密に調査します。この段階で収集された情報は、次の段階での活用の基礎となります。

• ディレクトリ/サブドメインの列挙
• クラウド サービスの構成ミスの可能性を確認する
• 既知の脆弱性とアプリケーションおよび関連サービスの関連付け

04. 攻撃と侵入

慎重に検討した上で、Web アプリ内で見つかった脆弱性への攻撃を開始します。これは、発見された攻撃ベクトルの存在を確認しながら、アプリケーションとそのデータを保護するために慎重に行われます。この段階では、次のような攻撃が実行される可能性があります。

• SQL インジェクションおよび/またはクロスサイト スクリプティング
• 認証メカニズムに対する侵害された認証情報とbrute force toolsの使用
• Web アプリの機能を監視して、安全でないプロトコルと機能を検出する

05. 報告

レポートは評価プロセスの最終段階です。 ElvesCore アナリストは、取得したすべての情報を集約し、調査結果の徹底的かつ包括的な詳細をクライアントに提供します。このレポートは、全体的なリスクの大まかな内訳から始まり、アプリケーションの保護システムとロジックの長所と短所の両方を強調しています。また、ビジネス リーダーがアプリケーションに関して十分な情報に基づいた意思決定を行えるよう支援する戦略的な推奨事項も含まれています。レポートではさらに、テスト プロセスや IT チームの修復手順など、各脆弱性を技術的に詳細に分析して、修復プロセスを簡素化しています。私たちは、各レポートが明示的であり、操作が簡単であることを保証するために多大な努力を払っています。

06. 修復テスト

さらに、クライアントの要求に応じて、クライアント組織が脆弱性にパッチを適用した後に Elves Core が評価をレビューする場合があります。変更が適切に実装され、リスクが排除されたことを確認します。以前の評価は、アプリケーションのより安全な状態を反映するために更新されます。

 

Webペネトレーションテストの診断ツール

Elves Core では様々な診断ツールを駆使してペネトレーションテストを行います。

主な診断ツール

 

診断項目

認証セキュリティ診断 破損したオブジェクトレベル認証診断 破損した認証診断 破損したオブジェクトプロパティレベル認証診断 制限されていないリソース消費診断 制限されていないリソース消費診断 破損した関数レベルの認証診断 機密ビジネスフローへの無制限アクセス診断 サーバー側のリクエスト偽造診断 セキュリティの誤構成確認 適切でないインベントリ管理 安全でないAPIの利用診断 複雑でカスタマイズ可能な攻撃シナリオ診断 脆弱性を狙う巧妙な攻撃 高度な偵察 ゼロデイ脆弱性診断 高度な回避技術/バイパス技術 高度持続型攻撃のシミュレーション シナリオベース診断 総合的なレポーティング

ペネトレーションテスト（侵入テスト）とは

ペネトレーションテスト（略称：ペンテスト）とは、ホワイトハッカーと呼ばれる専門知識を持った技術者が実際に、様々な技術を駆使してネットワークに接続されているシステムに攻撃・侵入を行い、システムに脆弱性がないかどうかをテストする方法です。

ペネトレーションテストでは悪意のある攻撃者と同様にあらゆるハッキング方法やツールを用いて攻撃を行います。ペネトレーションテストの精度、結果はホワイトハッカーの技術、経験の差により大きく左右されます。

エルフコアのペネトレーションは実際に世界で活躍するホワイトハッカー集団(Nullit・ナルト)が行なってるため、世界基準の技術を持ってテストを行うことができます。

【ホワイトハッカー集団”Nullit”とは？】
■世界30ヶ国超から参加する1000名を超える多様なスキルを持ったホワイトハッカー集団
■Web、スマホアプリ、サーバ、ネットワーク、リバースエンジニアリングなどの様々な得意分野を所有
■日本在住のホワイトハッカーとして15年以上活躍するハッカーが、厳選したメンバーのチームを編成
■定期診断サービスをご利用の場合には、Nullit（ナルト）のロゴを貴社サービスに掲載可。掲載することで、Nullitが定期診断している事が分かり、サイバー攻撃を未然に防ぐのに役立ちます。