Webアプリケーション脆弱性診断

概要

サイバーディフェンス研究所のセキュリティ診断(脆弱性診断・ペネトレーションテスト)は、高い技術力をもつセキュリティエンジニアがサイバー犯罪者と同様の思考に基づく攻撃を実施することで、診断対象となるWebアプリケーションに潜む脆弱性を顕在化させます。
サイトの特性とビジネスロジックを深く理解し、攻撃者視点での悪用価値を考慮したうえで、様々な攻撃を戦略的に試行することにより、一般的な脆弱性診断サービスやWebアプリケーション脆弱性スキャナでは発見出来ない脆弱性までも徹底的に洗い出し、推奨対策を提示します。

Webアプリケーションに関するペネトレーションテストのイメージ。リモート診断とオンサイト診断。

サービス詳細

特徴

脆弱性を徹底的に見つけ出す

当研究所のWebアプリケーション診断は、高度な技術、豊富な経験、非凡な攻撃センスを併せ持つ一流のセキュリティエンジニアが、対象となるWebアプリケーションの仕様を正確に理解し、リクエストに対する応答を考慮しながら、様々な攻撃を多角的に試行します。当研究所は、一般的な自動(ツール)診断や手動(マニュアル)診断とは一線を画する、深く、網羅性の高い診断をお約束します。

深く、多角的な脅威分析

当研究所の脅威分析は脆弱性単体の評価にとどまりません。 ビジネスロジックを理解したうえで発見した脆弱性がビジネスに与えるインパクトを評価すること、また複数の脆弱性の組み合わせによって実行可能な攻撃を分析することにより、貴社に生じうる真の脅威と優先して対処すべき課題を明確にします。

柔軟なサービス、きめ細やかなフォロー

大規模なサイトや機能が複雑なWebアプリケーションであっても、アプリケーションの仕様を踏まえた費用対効果の高い診断方針のご提案が可能です。 また、オンサイト作業、即日中の速報提出、改修箇所の確認など、お客さまのご要望に応じたきめ細やかなサービスを提供いたします。

PCI-DSS準拠のためのペネトレーションテスト/ASVスキャン

PCI-DSS準拠のためのペネトレーションテスト/ASVスキャンをワンストップでお任せいただけます。単にPCI-DSSへの準拠を支援するだけではなく、現実の攻撃に限りなく近い効果的なペネトレーションテストによって、本当のセキュリティリスクを確実に低減させます。

サイバーディフェンスが誇る専門チーム

サイバーディフェンス研究所には、国際的なCTF入賞経験のあるエンジニアに代表される優れたペネトレーションテスターに加えて、法執行機関での勤務経験者、脅威リサーチャー、重要インフラ制御システムの開発者など様々な専門性を持ったエキスパートが在籍しています。


サイバーディフェンス研究所なら、顧客の事業リスクを正確に捉え、守るべき対象を深く理解し、攻撃者と同様の思考に基づき卓越した攻撃を実行することによって、真の脅威を顕在化させるだけでなく、実効性のある対策の助言が可能です。

診断項目

No.タイトル概要
1. 認証セッション管理 認証セッションの発行、更新、破棄といった一連のサイクルにおける問題の有無を特定する他、強度の妥当性について検査します。
2. 認証Cookie 認証セッションにCookieを利用している場合、Cookieに付与される属性を検査します。
3. 入出力値検証 SQLインジェクションやクロスサイトスクリプティング、ディレクトリトラバーサル等の攻撃の起点になり得る入出力箇所を検査します。
4. リクエストの正当性 クロスサイトリクエストフォージェリ(CSRF)など、ログインした利用者又は何らかの処理を実行しうる利用者が、処理を意図せず実行させられてしまう可能性について検査します。
5. ロジック 課金やポイント処理等の不正利用の可能性について検査します。
6. アクセス制御 各利用者に与えられた権限以外の操作ができる可能性について検査します。
7. 重要な情報の管理 パスワードやクレジットカード、住所等の個人情報の取り扱い方法の妥当性について検査します。
8. メール送信機能 メール送信機能が存在するサービスの場合、宛先や本文等を不正に設定されることでスパムメールに利用される可能性や、連続大量送信等の迷惑行為を受ける可能性について検査します。
9. プラットフォームの設定 Webサーバやアプリケーションプラットフォームの設定不備による問題(ディレクトリリスティング、デフォルトエラーページなど)や暗号化通信(SSL)の適用状態などを検査します。

サービスフロー

Webアプリケーションに関する脆弱性診断(ペネトレーションテスト)の一連のフロー。診断対象の選定や費用の見積もりといった事前調査、診断の日程を調整してからの契約手続き、診断準備を経て実際に診断を実施いたします。診断後は結果を分析して報告書を納品し、修正箇所に関する再診断を行います。

費用

対象システムの仕様、構成、規模などを伺った上で最適なお見積りをご提案致します。予算に応じた診断範囲をご提案することも可能です。下記お問い合わせよりお気軽にご相談ください。

お電話でのお問い合わせ

☎03-5843-9015

受付時間:10時〜18時

※土曜・日曜・祝日、当社指定の休業日を除きます。

WEBからのお問い合わせ