概要

攻撃者と同様の思考、手法にもとづくペネトレーションテストにより、診断対象Webアプリケーションに潜む脆弱性を顕在化させます。
サイトの特性を考慮したうえで、様々な攻撃を戦略的に試行することにより、一般的な脆弱性診断サービスやWebアプリケーション脆弱性スキャナでは発見出来ない脆弱性までも徹底的に洗い出し、推奨対策を提示します。

web.png

サービス詳細

特徴

脆弱性を徹底的に見つけ出す

当研究所のWebアプリケーション診断は、高度な技術、豊富な経験、非凡な攻撃センスを併せ持つ一流のセキュリティエンジアが、対象となるWebアプリケーションの仕様を正確に理解し、リクエストに対する応答を考慮しながら、様々な攻撃を多角的に試行します。当研究所は、一般的な自動(ツール)診断や手動(マニュアル)診断とは一線を画する、深く、網羅性の高い診断をお約束します。

深く、多角的な脅威分析

当研究所の脅威分析は脆弱性単体の評価にとどまりません。 ビジネスロジックを理解したうえで発見した脆弱性がビジネスに与えるインパクトを評価すること、また複数の脆弱性の組み合わせによって実行可能な攻撃を分析することにより、貴社に生じうる真の脅威と優先して対処すべき課題を明確にします。

柔軟なサービス、きめ細やかなフォロー

大規模なサイトや機能が複雑なWebアプリケーションであっても、アプリケーションの仕様を踏まえた費用対効果の高い診断方針のご提案が可能です。 また、オンサイト作業、即日中の速報提出、改修箇所の確認など、お客さまのご要望に応じたきめ細やかなサービスを提供いたします。

PCI-DSS準拠のためのペネトレーションテスト/ASVスキャン

PCI-DSS準拠のためのペネトレーションテスト/ASVスキャンをワンストップでお任せいただけます。単にPCI-DSSへの準拠を支援するだけではなく、現実の攻撃に限りなく近い効果的なペネトレーションテストによって、本当のセキュリティリスクを確実に低減させます。

診断項目

No.タイトル概要
1. 認証セッション管理 認証セッションの発行、更新、破棄といった一連のサイクルにおける問題の有無を特定する他、強度の妥当性について検査します。
2. 認証Cookie 認証セッションにCookieを利用している場合、Cookieに付与される属性を検査します。
3. 入出力値検証 SQLインジェクションやクロスサイトスクリプティング、ディレクトリトラバーサル等の攻撃の起点になり得る入出力箇所を検査します。
4. リクエストの正当性 クロスサイトリクエストフォージェリ(CSRF)など、ログインした利用者又は何らかの処理を実行しうる利用者が、処理を意図せず実行させられてしまう可能性について検査します。
5. ロジック 課金やポイント処理等の不正利用の可能性について検査します。
アクセス制御各利用者に与えられた権限以外の操作ができる可能性について検査します。
6. 重要な情報の管理 パスワードやクレジットカード、住所等の個人情報の取り扱い方法の妥当性について検査します。
7. メール送信機能 メール送信機能が存在するサービスの場合、宛先や本文等を不正に設定されることでスパムメールに利用される可能性や、連続大量送信等の迷惑行為を受ける可能性について検査します。
8. プラットフォームの設定 Webサーバやアプリケーションプラットフォームの設定不備による問題(ディレクトリリスティング、デフォルトエラーページなど)や暗号化通信(SSL)の適用状態などを検査します。

サービスフロー

serviceflow.png

お電話でのお問い合わせ

☎03-3242-8700

受付時間:10時〜18時

※土曜・日曜・祝日、当社指定の休業日を除きます。

WEBからのお問い合わせ