専門家レベルの脆弱性診断とペネトレーションテストサービスでございます
業務内容
▼ご提供内容
専門家レベルの脆弱性診断とペネトレーションテスト
自動化脆弱性診断ツールを使用してテストするだけでは、無責任であり、お客様のシステムにリスクをもたらす可能性があります!私は絶対にそんなことはしません!
脆弱性やセキュリティ上の問題が見つからなければ料金はかかりません
※スマホアプリ診断、loTは対象外
▼こんな方にお勧め
・個人。個人サイトのセキュリティが心配
・中小企業の経営者。自社システムのセキュリティに不安、一方、大手企業の脆弱性診断サービスは高すぎる
・大手企業の技術チーム。専門レベルの脆弱性診断と侵入テストを実施したいと考えています
▼サービスご提供のながれ
お申込み
↓
本サービスが悪意のある攻撃に利用されることを防ぐため、ウェブサイトの所有権を確認する必要
↓
ドメイン名と診断範囲をご提出お願いします
↓
料金確定
↓
診断開始
↓
専門レベルの脆弱性診断またはペネトレーションテスト報告書。報告書には、詳細な脆弱性修正方法や、将来のセキュリティに関する推奨事項も添付されます。脆弱性修正作業が必要な場合は料金もご相談させていただきます。
↓
質問対応(3回)
▼診断項目
認証系
・総当たり攻撃
・不適切な認証
・脆弱なパスワード
承認系
・証明書とセッションの推測
・不適切な承認
・不適切なセッション期限
・セッションの固定
クライアント側での攻撃
・コンテンツの詐称
・クロスサイトスクリプティング
コマンド実行
・バッファオーバーフロー
・書式文字列攻撃
・LDAPインジェクション
・OSコマンド実行
・SQLインジェクション
・SSIインジェクション
・Xpathインジェクション
情報公開 ・ディレクトリ一覧の表示
・システム情報の漏洩
・パスの乗り換え
・推測可能なリソースの位置
ロジックを狙った攻撃
・機能の悪用
・サービス拒否
・不適切な実行プロセス
機密データの漏出
・パスワード、クレジットカード、健康記録、個人情報が暗号化されていること
・強度の高い標準の暗号化アルゴリズムを使用していること
・パスワードが強い標準のアルゴリズムでハッシュ化し適切なソルト化の実施をしていること
- 業務
- 脆弱性評価
- 専門知識
- 監査 データ保護 脅威インテリジェンス
- テクノロジー
- ネットワーク OS Webアプリケーション
【セキュリティ診断】あなたのWEBサイトの脆弱性診断を最短1日で診断いたします
業務内容
▼ご提供内容
サイト規模にあわせたWebサイトでの脆弱性診断を行います。
※サーバー環境の脆弱性診断(プラットフォーム診断)やスマホアプリ診断、ゲーム診断、Iot診断などは対象外となりますので、予めご了承ください。
▼こんな方にお勧め
・個人サイトを作ったが、安全なサイトか気になる
・会社HPを外注したが、顧客情報などを安全に取り扱えているか調査したい
・Webページの安全性検査をしたいが、専門知識がなくやり方がわからない
▼サービスご提供のながれ
(お申込み)
↓
サイト状況のヒアリング・診断範囲の策定(ヒアリング時点で料金と納期をご相談します。)
↓
サイト診断
↓
簡易レポート報告(メールにて納品)
↓
質問対応(2回の質問対応)
▼料金プランやオプションについて
サイト規模を観察してから料金を相談いたします。
▼簡易レポートについて
診断した結果、検出した脆弱性についてレポートを提供いたします。
記載内容
・診断対象
・検出した脆弱性
・診断サイトの脆弱な部分の画面解説
・検出箇所
・修正案
▼診断にあたっての注意事項
WAFの導入をされている場合、診断がただしく行えないことがございます。対象IPからの通信を診断期間中に許可していただく設定が必要になることがございます。
DosやDDosなど、アプリケーションとは別にサーバー構築段階で可能性のある攻撃や脆弱性については診断対象外となります。
脆弱性診断がすべての攻撃を防げるわけではございません。網羅的で確実な診断を心がけておりますが、脆弱性診断を終えて修正するとサイバー攻撃に完璧に対応できた状態になるわけではございません。
診断にあたっては攻撃者が実際に送信するものと同じ通信が発生します。ヒアリング時点で診断にあたってサイトに実際の被害がでないように開発環境のご用意をいただく場合がございます。
▼診断項目一覧
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- セッションハイジャック
- ファイルアップロードの脆弱性
- 不正なリダイレクト
- パスワードの緩いセキュリティ
- ディレクトリトラバーサル
- メッセージによる情報漏えい
- OSコマンドインジェクション
- XML外部エンティティ(XXE)攻撃
- HTTPヘッダーインジェクション
- クリックジャッキング
- 不正アクセス制御の脆弱性
- CORS(Cross-Origin Resource Sharing)の脆弱性
- サーバサイドリクエストフォージェリ(SSRF)
- HTTPメソッドの不適切な使用
- 不正な入力データによるサービス妨害(DoS/DDoS攻撃)
- サービスの意図しない開示
- セキュリティプロトコルの不備(TLS、SSL)
- 不適切な認証/認可の実装
- ヘッダ設定の不備