WEBアプリケーション脆弱性診断
-SQAT® for Web-

“事業の顔”となるWebサイトの
リスクを包括的に把握し
すばやく的確に対策を打つ

Webサイトはいまやあらゆる企業や組織にとって、”事業の顔”といえます。しかしながら裏を返せば、そこは攻撃者にもっとも狙われやすい場所とも言えます。事実、日々メディアで報じられる不正アクセス被害や情報漏えい事故では、しばしばWebサイトへの侵入から被害が広がっています。攻撃のリスクを最小化するには、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することが不可欠です。SQAT® for Webは、そうした取り組みをWebサイトのライフサイクルを通じて全方位でご支援します。

サービス概要

悪意ある第三者の視点で、Webアプリケーションをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。検出された問題点に対しては、各種国際標準や最新の脅威動向を踏まえて深刻度を評価し、推奨対策と合わせてご報告いたします。アプリケーションのリリース・更新時、運用中のアプリケーションの定期チェックにご活用いただけます。

サービス特長

01.さまざまな脆弱性を5つの主要カテゴリ*に分類。脆弱な領域を体系的に把握できる

02.経験豊富なエンジニアによる手動診断とツールによる自動診断を組み合わせて高い精度を実現

03.重大な問題が検出された場合は、報告書に先駆けて「速報」を提供

04.報告会の開催、再診断(3か月以内無償)など、診断後のフォローも充実

*「入出力制御」「認証」「セッション管理」「重要情報の取り扱い」「システム情報・ポリシー」

診断方法

ハッカーの手法を用いて、外部から動的にセキュリティ診断を実施し、対策を施すべき脆弱性を検出します。

主な診断項目

入出力処理クロスサイトスクリプティング
HTMLタグインジェクション
SQLインジェクション
コマンドインジェクション
パスマニピュレーション
ファイルアップロード機能に関する調査
パラメータ推測
例外処理に関する問題
オープンリダイレクト
CRLFインジェクション
バッファオーバーフロー(※通常実施しない項目)
認証ログインフォームに関する調査
ログイン情報の送受信に関する調査
認証回避に関する調査
パスワードの強度に関する調査
復元可能なパスワード保存
セッション管理Cookieに関する調査
セッションIDに関する調査
セッションハイジャック
セッションフィクセーション
クロスサイトリクエストフォージェリ
セッションタイムアウト
ユーザ権限に関する調査
重要情報の取り扱いユーザ情報の管理に関する調査
特定個人情報の管理に関する調査
クレジットカード情報の管理に関する調査
キャッシュ制御に関する調査
強制ブラウジング
システム情報・ポリシー システム情報の開示
エラーメッセージの表示に関する調査
ディレクトリリスティング
ソフトウェアの既知の脆弱性
クリックジャッキング
デフォルト設定に関する調査
その他 ユーザビリティや品質に関する問題

価格

個別お見積りとなります。診断対象となるIP等の数等に応じて費用が変わりますので、お客様のご要件をヒアリングし、お見積りいたします。下記のお問い合わせボタンよりお気軽にお問い合わせください。

FAQ

脆弱性診断についてよくあるご質問(FAQ)はこちら。詳しいご案内は、下記のお問い合わせボタンよりお気軽にお申し付けください。

関連サービス