Webアプリケーション診断では、
お客様のWebサイトに潜むセキュリティ上の問題点を攻撃者の立場で診断し検出します。
Webアプリケーションのセキュリティ問題に精通した技術者が
Webサイトの問題点を隅々まで診断し、情報漏えい等重大事件の 発生防止をお手伝いします。
サービスイメージ
特徴
① 高い脆弱性検出率
熟練した技術者の診断ノウハウを可能な限り手順化し、また弊社独自のツールを利用することにより、リーズナブルでありながらも高い脆弱性検出率を誇るサービスをご提供いたします。
② 無償での再診断
診断終了後、脆弱性の改修は、お客様に大きな負担となります。改修時のお問い合わせ対応や再診断も無償で実施し、対策完了までをフルサポートします。
③ 診断に伴う
お客様の負荷を軽減
診断対象サイトの事前調査を行い、詳細な画面遷移図を作成します。その結果をもとに、お客様の環境、ご予算に合わせた診断範囲、診断方法をご提案いたします。
サービス内容
用途やWebサイトの規模に応じて最適なサービスをご利用いただけます。
エキスパート診断とエクスプレス診断においては、診断項目および診断品質は同じ内容になります。
-
エキスパート診断
新規開発したWebサイトや診断を未実施のWebサイトを網羅的に診断するのに適しています。
-
エクスプレス診断
規模の小さいWebサイトや改修を重ねたWebサイト等のセキュリティレベルの確認や、多数のWebサイトを運用している場合の監査に適しています。
| サービス名 | エキスパート診断 | エクスプレス診断 |
|---|---|---|
| 診断項目 | 共通(※「主な診断項目」に記載) | |
| 診断対象範囲 | 50リクエストまたは25APIからの診断 全体を網羅的に診断 |
10リクエストまたは6APIからの診断 豊富な診断実績に基づき、お客様のWebサイト全体より優先して診断すべきリクエストを選択 |
| 診断スケジュール | 診断期間は7営業日〜(50リクエストまたは25API) 報告書提出は、診断最終日の5営業日後 |
診断期間は3営業日〜(10リクエストまたは6API) 報告書提出は、診断最終日の5営業日後 |
| 再診断 | 対象は危険度がMedium以上の脆弱性 | 対象は危険度がMedium以上の脆弱性 |
| 利用用途 | 網羅的に診断する際に利用 | セキュリティレベルの確認に利用 追加開発時に利用 |
| 診断項目 | 共通(※「主な診断項目」に記載) | |
|---|---|---|
| 診断対象範囲 | 50リクエストまたは25APIからの診断 全体を網羅的に診断 |
10リクエストまたは6APIからの診断 豊富な診断実績に基づき、お客様のWebサイト全体より優先して診断すべきリクエストを選択 |
| 診断スケジュール | 診断期間は7営業日〜(50リクエスト) 報告書提出は、診断最終日の5営業日後 |
診断期間は3営業日〜(10リクエスト) 報告書提出は、診断最終日の5営業日後 |
| 再診断 | 対象は危険度がMedium以上の脆弱性 | 対象は危険度がMedium以上の脆弱性 |
| 利用用途 | 網羅的に診断する際に利用 | セキュリティレベルの確認に利用 追加開発時に利用 |
主な診断項目
| 区分 | 主な診断項目 |
|---|---|
| 認証 | パスワードポリシー |
| 不適切な認証 | |
| 脆弱なパスワードリマインダ | |
| 承認 | セッションの推測 |
| 不適切な承認 | |
| セッションの固定 | |
| CSRF(Cross Site Request Forgeries) | |
| クライアント側での攻撃 | クロスサイトスクリプティング |
| コンテンツの詐称 | |
| コマンドの実行 | バッファオーバーフロー |
| 書式文字列攻撃 | |
| LDAPインジェクション | |
| OSコマンドインジェクション | |
| SQLインジェクション | |
| SSIインジェクション | |
| XPathインジェクション | |
| 情報公開 | ディレクトリインデクシング |
| ソース記載による情報漏えい | |
| 推測可能なリソース位置 | |
| ロジックを狙った攻撃 | 機能の悪用 |
| パス・トラバーサル | |
| リダイレクタ | |
| 不適切なプロセスの検証 |
| 認証 | パスワードポリシー |
|---|---|
| 不適切な認証 | |
| 脆弱なパスワードリマインダ | |
| 承認 | セッションの推測 |
| 不適切な承認 | |
| セッションの固定 | |
| CSRF(Cross Site Request Forgeries) | |
| クライアント側での攻撃 | クロスサイトスクリプティング |
| コンテンツの詐称 | |
| コマンドの実行 | バッファオーバーフロー |
| 書式文字列攻撃 | |
| LDAPインジェクション | |
| OSコマンドインジェクション | |
| SQLインジェクション | |
| SSIインジェクション | |
| XPathインジェクション | |
| 情報公開 | ディレクトリインデクシング |
| ソース記載による情報漏えい | |
| 推測可能なリソース位置 | |
| ロジックを狙った攻撃 | 機能の悪用 |
| パス・トラバーサル | |
| リダイレクタ | |
| 不適切なプロセスの検証 |
