ブラックボックス診断
概要
Takumi ブラックボックス診断機能は、アプリケーションのURL・認証情報を受け取り、当該アプリケーションを擬似的に攻撃し、診断結果を Web 上でレポートとして出力する機能です。
Shisho Cloud byGMO の Web 画面から利用できます。
現時点では本機能は、Slack からは利用できません。 チャットでの指示から、唐突に意図しない攻撃トラフィックが発生してしまうのを避けるためです。
実施前の内容確認・ユーザーによる同意を伴ったうえで、診断の起動・レポートの受け取りができる機能は、今後提供予定です。
クレジット消費に関して
利用にはクレジットが必要です。 クレジット消費量は、診断対象の特性やサイズに応じて変動します。
他の機能に比べて、相対的にクレジット消費が大きい傾向にあります。 アプリケーションの規模に応じて、100~200クレジット程度や、それ以上かかる場合もあります。
クレジット消費量が気になる場合は、後述する「一部のみ診断」モードも活用してください。
組織または診断対象の所有権証明
診断を開始する前に、組織認証あるいはブラックボックス診断対象の所有権証明が必要になります。詳細は診断前の組織認証あるいは所有権証明を参照ください。
診断の開始方法
「診断」(Assessment)タブ内、画面右上の「新規診断」ボタンから、診断が開始できます。
診断時の設定は、およそアプリケーションのURLや認証情報のみです。
診断開始時は、2つのモードからいずれかをお選び頂けます。
- 「全体を診断」モードでは、アプリケーション全体をまとめて診断します。クローリング、診断が一気通貫で行われます。
- 「一部を診断」モードでは、クローリング終了時点で Takumi が停止します。その後、診断したい機能・観点を選択いただいてから、診断を再開 します。診断範囲をコントロールし、クレジット消費量を最小化したい方におすすめです。
診断には、数時間から2日ほどを要します。ぜひ、ゆったりとお待ち下さい。
診断結果を確認する
診断レポートは、およそ以下の画面のように、Web 上で閲覧いただけます。
フォーマットは、およそセキュリティベンダに診断を依頼した際のアウトプットに近いものです。
診断結果の各項目では、どの機能を、どのような観点で診断した結果、どのような深刻度・リスクの脆弱性があったか、が説明されています。
再診断する
再診断機能は、一部の機能・一部の観点のみを診断する機能です。 クレジット消費量は、再診断の対象となる機能・観点の数に応じて変動します。
診断観点
大別すると、Takumi は以下のような観点でレビューします。
- インジェクション
- XSS
- CSRF
- SSRF
- ファイル操作不備
- オープンリダイレクト
- 認証の不備
- 認可制御の不備
- ロジックの不備
- クリックジャッキング
- CORS設定不備
各大項目の中に、細かな診断観点が様々含まれています。 特色は、特に(ビジネス)ロジックの脆弱性が診断対象に含まれること です。 LLM エージェントを活用した弊社技術により、アプリケーション仕様に基づいた診断が可能となっています。
細部が気になる場合は、開発者とのお打ち合わせも可能です。是非お問い合わせください。
精度評価
GMO Flatt Securityが独自に脆弱性を埋め込んだデモアプリケーションを対象に、ブラックボックス診断機能単体による診断を行った結果、約20時間のスキャン を通して 検出率は48%、誤検知(偽陽性)率は33.3% という結果になりました。
なお、デモアプリケーションには、ソースコードを参照しないと発見が本質的に困難である脆弱性も含まれており、そのようなものを除いた場合の 検出率は70% でした。
診断元IPアドレス
本機能の診断元IPアドレスは、以下の通りです。
この送信元IPアドレスは、提供元の都合により、変更される可能性があります。
34.97.228.101
13.113.43.245
18.178.91.176
54.150.4.178
54.168.46.6
54.248.85.10
143.189.213.53