Webサービスを提供するにあたっては、Webサイトにアクセスして頂くお客様に安心してサービスをご利用頂けるよう、十分なセキュリティ対策を行うことが非常に重要な要素となっています。個人情報やクレジットカード情報などを取り扱うウェブサービスでは特に、重大な結果を招くセキュリティ事故を未然に防ぐため、サイトのオープン時はもちろんオープン後も定期的にセキュリティチェックを行い、リスクを低減し、安全な状態でサイト運営を行うことが求められます。
クラウドエースのセキュリティ診断サービスでは、Googleが提供するskipfishというセキュリティ診断ツールを用いて、設計・実装ミスによって生じる可能性のある脆弱性をチェックします。
チェックの結果をレポート化し、経験豊富なクラウドエースのスタッフが、よりセキュリティの高いサイトとなるよう、Webサービスのセキュリティに対するアドバイスやサポートを行います。
skipfishによる主な脆弱性チェックの内容は、以下の通りです。

  • サーバーサイドSQL/PHPインジェクション
  • サーバーサイドシェルコマンドインジェクション
  • サーバーサイドXML/XPathインジェクション
  • GET/POSTメソッドのパラメータにおけるSQLライクな命令の埋め込み
  • フォーマット文字列による脆弱性
  • 整数オーバーフローに関する脆弱性
  • PUTメソッドでのLocations受け入れ