Webアプリケーション診断

サービスの概要

アピリッツの専任セキュリティエンジニアがWebサイトのセキュリティを攻撃者の視点で診断を致します。診断自体はログイン、動的なページを中心に漏えいや改ざんにつながらないかを手動で丁寧に診断を致します。診断自体はインターネット経由で行いますが、お客様のご要望に応じてオンサイトでの診断も承っております。

当社セキュリティ専門エンジニアが診断項目に従い、診断を実行します。

  • 診断日程は個別にご提示させていただきます。
  • 報告書は診断後、約1週間でご提出させていただきます。
  • 診断時間は10:00~19:00になります。(ご相談可能)
  • 診断時にメールにて開始連絡をいたします。
  • 高い脆弱性を発見した場合、メールor電話にてご連絡を差し上げます。
  • 診断後、1か月以内であれば再診断を実施いたします。
  • 報告書提出後、1カ月以内であればメールでのQ&A対応は可能です。

診断内容

  • ディレクトリリスティング
  • メールヘッダインジェクション
  • ディレクトリトラバーサル
  • 認証
  • SQLインジェクション
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • OSコマンドインジェクション
  • セッション管理不備
  • 認可制御の不備/欠落
  • プログラム設計の潜在的脆弱性
  • 仕様による潜在的脆弱性
  • ファイルアップロード制御の不備・欠落

診断の流れ

  1. 1

    ヒアリング

    • 対象システムに関してのヒアリングを実施
    • 対象システムの対象リストの精査、決定
  2. 2

    診断方法提案

    • 診断方法の確認(手動診断・手動診断とツール診断のハイブリット診断)
    • 診断日程確定
  3. 3

    診断

    • 診断の実施
    • 診断実施時間の待機
    • 診断の開始及び終了をメールにてお知らせ
  4. 4

    速報連絡

    • 重大な脆弱性を発見した場合に速報を提出
    • 修正方法の提示
  5. 5

    報告書作成

    • 発見された問題点一覧を提出
    • 問題点の改善について、緊急度や必要性を評価
    • 問題点が及ぼす影響の評価
    • すべての問題点について、再現方法提示・具体的な対策方法を提示
  6. 6

    報告会(オプション)

    • 発見された結果を元に報告会を実施
    • 技術的視点からの改善策をご提示
  7. 7

    QAサポート/再診断

    • 診断後、1ヶ月以内であれば無償で再診断を実施
    • 1ヶ月以内であればメールでQ&Aも実施いたします

料金

診断メニュー

Webアプリケーション診断

概要

SQLインジェクション、クロスサイトスクリプティング、CSRFはもちろんのことPCIDSS基準、OWASPTOP10基準などの診断を組み合わせ、ご予算、診断期間、診断項目など個々のお客様に合わせた提案が可能です。再診断は無料※1

費用

別途問い合わせ

  • ※1診断結果報告書提出後、1ヶ月以内に1回のみ無償でご提供いたします。ただし、オンサイト診断の場合は別途お見積もりとなります。
  • 上記料金は弊社からリモートで診断を行う場合となります。オンサイトでの診断につきましては別途ご相談ください。
  • 価格は税抜き表示になります。別途消費税が加算されますのでご了承ください。
  • 上記料金には報告会は含まれておりません。別途お見積もりとなります。
  • 上記料金は弊社からリモートで診断を行う場合となります。オンサイトでの診断につきましては別途ご相談ください。