サート・アプリ診断は、iOS、Androidアプリに加え、アプリが参照するWebサービス(APIサーバー)も診断対象になります。
Android | |
---|---|
Appパッケージ | ソースコードの難読化 Manifest ファイルの適切な権限設定 ソースコード上の重要情報露出の確認 |
App ディレクトリ(Sandbox) | アプリが生成するファイル上の重要データ露出の確認 DBファイル上の重要データ露出の確認 |
App 実行 プロセスメモリ・ネットワーク使用 |
平文通信内の重要データ転送可否の確認 Hacking Phone(Rooting) 検知実装の確認 App 改ざん検証機能の実装の確認 メモリ上の重要データの露出の最小化設計の確認 ログ出力内容の確認 有料コンテンツの盗用可能性の確認 Intent 強制呼び出し対策実装の確認 画面 Captureの対策実装の確認 |
iOS | |
---|---|
App ヘッダー情報 | Position Independent Executable (PIE) 適用可否の確認 Stack Smashing Protection (SSP)適用可否の確認 Automatic Reference Counting (ARC)適用可否の確認 |
App ディレクトリ(Sandbox) | ソースコード上の重要情報露出の確認 アプリが生成するファイル上の重要データ露出の確認 DBファイル上の重要データ露出の確認 アプリスナップショット保存防止機能の実装の確認 |
App 改ざん | Anti-Patch 適用可否の確認 デバッガー検知機能の実装の確認 |
App 実行 プロセスメモリ・ネットワーク使用 |
平文通信内の重要データ転送可否の確認 Hacking Phone(Rooting) 検知実装の確認 メモリ上の重要データの露出の最小化設計の確認 ログ出力内容の確認 ランタイム(プロセス流れ)操作可能性の点検 |
Webサービス(APIサーバー) | |
---|---|
情報の露出 | 不要ファイル・I/F・ページの露出の確認 不適切なログイン結果メッセージの確認 アプリのコメント中の重要情報露出の確認 サーバーエラーメッセージ露出の確認 デフォルトページ露出の確認 サーバー情報(OS、バージョンなど)露出の確認 |
重要情報の露出 | 平文通信内の重要情報の確認 平文通信内の主要情報(クライアントが類推できるデータ)確認 Hidden パラメータ改ざん脆弱性の確認 意図していないファイルのダウンロード脆弱性の確認 サーバー上のディレクトリリスティング露出脆弱性の確認 |
脆弱な認証・権限確認 | ソースコード露出の確認 推測可能なID/Password作成ルール脆弱性の確認 Brute-Force攻撃の対応設計の実装の確認 Cookie認証脆弱性の確認 2重ログイン脆弱性の確認 認証迂回脆弱性の確認 Cross-Site-Script 脆弱性の確認 CSRF脆弱性の確認 サービス管理用ページ露出・アクセスの確認 |
リモートコード実行脆弱性 | Command Injection 脆弱性の確認 SQL Injection脆弱性の確認 Remote File Inclusion脆弱性の確認 意図してないファイルアップロードの脆弱性の確認 |
その他 | 意図していない Redirect/Forward 脆弱性の確認 |
サート製品導入のご相談はこちらから