WEBアプリケーションに関する全項目をエンジニアが手動で診断します。1遷移より診断可能です。
当社のWebアプリケーション診断サービスの特徴
エンジニアの質が違います
- 豊富な経験を持つプロフェッショナルのエンジニアが、ペネトレーション診断と呼ばれる、サイバーセキュリティ攻撃を仕掛けてくる実際の攻撃者の手段を用いて、対象サイトの脆弱性を詳細に診断します。
サービスの質が違います
- お客様のご要望に応じて、休日、夜間にも対応可能です。診断前に画面遷移図を作成し、診断範囲をご提示します。
レポートの質が違います
- 対象のサイトを5段階で評価し、効果的な分析結果をご報告します。高品質かつ詳細なレポートをご提供いたします。
Webアプリケーション診断メニュー
| ベーシックプラン | プレミアムプラン | |
|---|---|---|
| 診断手法 | 手作業診断(一部ツールによる診断) | 手作業診断 |
| 診断方法 | リモート | リモート |
| 診断対象 | 対象サイトの全動的画面 | 特定した動的画面 |
| 診断手法 | 手作業診断(一部ツールによる診断) | 手作業診断 |
| 診断項目 | ・クロスサイトスクリプティング ・SQLインジェクション ・OSコマンドインジェクション ・強制ブラウジング(不要なコンテンツ含む) ・不要なコンテンツの存在 ・ディレクトリ内容表示 |
Webアプリケーションに関する全項目 |
| 遷移図の作成 | 〇 | 〇 |
| 再診断価格 | 別途お見積り | 別途お見積り |
| 報告会 | オプション | オプション |
| 留意事項 | ・URLは、「http://www.twsri.co.jp/」以下の画面を診断することを想定しております。 同一サイトであってもURLが違う場合(http://www2.twsri.co.jp/)は、別カウントとなります。 ・同一URLでも携帯サイトは別カウントになります。 ・対象サイトに特有の文字列で発生するSQLインジェクションやOSコマンドインジェクションは検出できません。 ・画面をまたいで発生するクロスサイトスクリプティングは検出できません。 |
[Webアプリケーション診断例]
![[Webアプリケーション診断例]](/security/wp-content/uploads/sites/3/2017/03/web-s.png)
主な診断項目
| 診断項目 | 典型的な脆弱性 |
|---|---|
| ユーザ認証に関する項目 | 脆弱なパスワードの存在 認証設定の不備 パスワードリマインダの不備 HTTPSの不備 SSL証明書の妥当性 |
| コンテンツアクセス承認に関わる項目 | 推測可能なセッションID アクセス制御機構の不備 セッション終了処理の不備 セッションフィクセイション |
| クライアントを対象とした攻撃に関する項目 | クロスサイトスクリプティング コンテンツ詐称 |
| コマンド実行に関する項目 | バッファオーバーフロー OSコマンド実行 SQLインジェクション SSIインジェクション LDAPインジェクション 各種インジェクション |
| 情報取得に関する項目 | ディレクトリ内容表示 ディレクトリトラバーサル 強制ブラウジング 不要なコンテンツの存在 HTMLソース内容 |
| アプリケーション機能の悪用に関する項目 | クロスサイトリクエストフォージェリ(CSRF) HTTPヘッダインジェクション(HTTPレスポンススプリッティング) 機能の悪用 サービス妨害 自動アクセス防止の不備 |
診断報告書
- 診断結果(総合評価、総論、評価方法と評価基準)
- 診断実施内容(診断日程、診断対象、診断対象ページ一覧、診断体制、診断環境、診断方法、診断項目、留意事項)
- 診断結果概要
- 脆弱性詳細
- 附録(用語集)
