Webアプリケーション診断サービス
Webアプリケーション診断サービス
- Webサイトで、「お問い合わせフォーム」や「○○募集フォーム」等を公開している。 脆弱性の診断をして欲しいが・・安価で頼めないか?
- ECサイトを運営している。ユーザ情報、クレジットカード情報の漏洩が心配!! 万が一の情報漏洩が致命的な結果を招いてしまう。早急に対策を打ちたい!
- Webアプリケーション開発を行っており、納品前に脆弱性が無いかが心配!! 第3者の視点で確認してほしい。
- 公開Webサイトがダウンすると、ビジネスに非常に大きな影響がある!!事前に対策をして欲しい。
アルファネットなら
アルファネット
Webサーバ上で稼動するアプリケーションに対し、SQLインジェクションやクロスサイトスクリプティングを始めとする既知の攻撃手法を用いたセキュリティ脆弱性診断を行います。これにより、対象となるWebサイトの機密(重要)情報漏洩、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。
Webサイトのセキュリティ対策
約90%のWebサイトにセキュリティの脆弱性があるといわれています。
Webサイトへの攻撃に対する7~8割を占めているといわれている「クロスサイトスクリプティング」、 「SQLインジェクション」の脆弱性の有無を診断。Webアプリケーションセキュリティのスペシャリスト集団が手作業による診断できめ細かな検査をご提供いたします。
万が一Webアプリケーション診断で脆弱性が確認されてしまった場合、WAF(Webアプリケーションファイアウォール)WAPPLESの導入を支援いたします。WAFとは外部ネットワークからの不正アクセスや不正侵入、情報漏洩などを防ぎます。
Webアプリケーション診断サービス内容
【ベーシック】
SQLインジェクションやXSSなど特に代表的な攻撃手法を用いた診断サービスです。
| 診断項目 | 診断概要 |
|---|---|
| クロスサイトスクリプティング検査 | 不正な文字列と引数を与えることによる脆弱性の検査 |
| SQLインジェクション検査 | 不正な文字列と引数を与えることによる脆弱性の検査 |
【アドバンスド】
ベーシックでご提供するサービスに加え「セッション管理の不備」や、以前話題になった「ク ロスサイトリクエストフォージェリ」など、多数の脆弱性の有無を診断。Webアプリケーションセキュリティのスペシャリスト集団が、実際の攻撃者と同じ目線で検証パターンをピックアップし、手作業による深度の深い検査をご提供い たします。
| 診断項目 | 診断概要 |
|---|---|
| クロスサイトスクリプティング検査 | 不正な文字列と引数を与えることによる脆弱性の検査 |
| SQLインジェクション検査 | 不正な文字列と引数を与えることによる脆弱性の検査 |
| クロスサイトリクエストフォージェリ検査 | スキャンツールによる検査スキャンツールのデータベースを利用した脆弱性検査 |
| ディレクトリトラバーサル検査 | 閲覧が許可されないファイルに対するアクセス制御の検査 |
| セッションハイジャック検査 | セッションIDを盗聴して悪用される攻撃に対する検査 |
| セッションフィクセーション検査 | セッションIDの発行や処理の脆弱性を悪用する攻撃に対する検査 |
| デバッグモード・エラー出力内容検査 | デバッグ機能、スタックトレース等、攻撃者に有用なメッセージ、機能が利用できないかを検査 |
| Cookieの検査 | Cookieに重要な情報が含まれていないかを検査 |
| Hiddenフィールド検査 | 重要な情報が含まれていないかを検査。不正な情報の入力に対する脆弱性を検査 |
| 検索フォーム検査 | 検索フォームに不正な入力をされ情報が流出されてしまうことへの検査 |
| OSコマンドインジェクション検査 | 不正な入力によりサーバ上でOSコマンドを実行されてしまうことへの検査 |
| LDAPインジェクション検査 | LDAPの検索条件に不正な文字列と引数を与えることによる脆弱性の検査 |
| Xpathインジェクション | XMLの検索条件に不正な文字列と引数を与えることによる脆弱性の検査 |
| SSIインジェクション | SSIスクリプト部に不正な文字列と引数を与えることによる脆弱性の検査 |
| HTTPヘッダインジェクション | HTTPレスポンスヘッダの出力処理における脆弱性の検査 |
| 不正ログオン診断 | 不正ログオンに対する防止機能(ベーシック認証等)が組み込まれていることの検査 |
| 認可制御検査 | 他利用者のデータに対するアクセス制御の確認 |
WAF導入支援サービス
WAPPLESが選ばれる理由
-ホワイト/ブラックリストに頼らず、攻撃のロジックを分析
-誤検知/過剰検知が少ない
-設定の容易さ(多種多様に用意されたルールから選択するだけの設定)
-PCI DSS適合証明、EALの取得
| サービス名称 | サービス内容 |
|---|---|
| WAPPLES導入支援 | ・コンサルティング ・WAPPLES導入・トレーニング(WAPPLESの利用方法) |
診断の流れ
1. まずは弊社にご連絡下さい。
サービスのご説明と診断日の調整をさせて頂きます。
2. 診断日に弊社よりリモートにて診断を実施させて
頂きます。
3. 診断結果をもとにメールにて診断結果レポートを提出させて頂きます。
価格のお問い合わせはこちらまで↓
※記載されている会社名および製品名、ロゴは各社の商標または登録商標です。