Webアプリケーション診断は、 Webアプリケーションを起因とした情報漏えい・改ざんなどのリスクを未然に防ぐサービスです。専門のセキュリティエンジニアによる検査でWebアプリケーションの脆弱性を発見します。ご要望に合わせて2つのプランからお選びいただけます。
2つのプランからお選びいただけます。
システムリリース前の第三者評価をしたい
「エキスパート」プランがおすすめ!
「エクスプレス」プランがおすすめ!
起点URLからの巡回と画面一覧作成 | 診断対象となるサイトとサイトの起点URLを確認 クロールによる動的遷移の抽出と画面選定を実施 |
診断時間 | 平日日中帯 |
報告会 | Web会議で、診断結果報告書を用いた報告会を実施 |
再診断 | お客様が問題点への対処を行った後、問題点が是正されていることを再診断にて確認 ※ 報告書の提示から1ヵ月以内に1回まで無償にてお受けします。無償対応はリモート診断・平日日中帯での実施に限ります |
エキスパート | エクスプレス | |
---|---|---|
診断手法 | マニュアル診断(手動)と ツールによる網羅的な診断 |
|
オンサイト対応 | あり | |
診断項目 | Webアプリケーション診断に 求められる項目を網羅 |
機械的に攻撃されやすい インジェクション系の脆弱性を中心に検査 |
結果報告書 | 脆弱性・対策情報の記載 画面キャプチャ・検出データなどの証跡 傾向分析・総評 |
|
診断の特徴 | 人による診断を主とする細かな診断 認可制御などの複雑なロジックの診断に対応 |
人による診断を主とする細かな診断 迅速な結果報告 |
報告書 | あり | |
報告会 | あり | |
再診断 | あり | |
再診断対象 | 高・中レベルの指摘事項のみ |
No. | 脆弱性の種類 | エキスパート | エクスプレス |
---|---|---|---|
1 | SQLインジェクション | 〇 | 〇 |
2 | OSコマンド・インジェクション | 〇 | 〇 |
3 | パス名パラメータの未チェック/ ディレクトリ・トラバーサル |
〇 | 〇 |
4 | セッション管理の不備 | 〇 | |
5 | クロスサイト・スクリプティング | 〇 | 〇 |
6 | CSRF (クロスサイト・リクエスト・ フォージェリ) |
〇 | 〇 |
7 | HTTPヘッダ・インジェクション | 〇 | 〇 |
8 | メールヘッダ・インジェクション | 〇 | 〇 |
9 | クリックジャッキング | 〇 | |
10 | バッファオーバーフロー | 〇 | |
11 | アクセス制御や認可制御の欠落 | 〇 |
No. | 脆弱性の種類 | エキスパート | エクスプレス |
---|---|---|---|
1 | SQLインジェクション | 〇 | 〇 |
2 | クロスサイト・スクリプティング | 〇 | 〇 |
3 | CSRF (クロスサイト・リクエスト・ フォージェリ) |
〇 | 〇 |
4 | OSコマンド・インジェクション | 〇 | 〇 |
5 | ディレクトリ・リスティング | 〇 | 〇 |
6 | メールヘッダ・インジェクション | 〇 | 〇 |
7 | パス名パラメータの未チェック/ ディレクトリ・トラバーサル |
〇 | 〇 |
8 | 意図しないリダイレクト | 〇 | |
9 | HTTPヘッダ・インジェクション | 〇 | 〇 |
10 | 認証 | 〇 | |
11 | セッション管理の不備 | 〇 | |
12 | 認可制御の不備、欠落 | 〇 |
診断場所 |
|
ご要件に応じて個別にお見積もりします。お気軽にお問い合わせください。
※所要日数は調査対象画面遷移数、ネットワーク環境などによって変更されます。