クイックWebアプリケーション脆弱性診断は、短期間+低価格でWebサイトの脆弱性を検出するサービスです。
インターネット上に公開されているWebサイトは、たとえ個人情報を保持していない場合でも、
様々なリスクを抱えている可能性があります。
正規のサイトと見分けがつかない偽サイトを作成され、アカウント情報などを詐取される可能性があります。
お問い合わせフォームから顧客情報が漏洩してしまうリスクがあります。
不正侵入や情報漏洩によって、Webサイトやサービスが停止してしまう可能性があります。
そこで、高品質なツールで、
スピーディーかつ低価格に
診断しましょう。
使用するのは、脆弱性診断技術者向けのプロ仕様ツールVex。
国内の金融機関を含めた厳しいセキュリティ要件にも対応できる品質の高さが特徴です。
|
再診断・スピード重視に クイック診断 短期間で低価格に診断を実施したい場合におすすめです。 |
はじめての診断にオススメ ハイブリッド診断 専用ツールでは実施出来ない診断項目を診断員による手動診断で実施します。より高いセキュリティ対策を目指す場合におすすめです。 |
|
|---|---|---|
| 診断方法 |
専用ツールによる自動診断 |
専用ツールによる自動診断に加え、診断員による手動診断 |
| 診断対象 |
すべての画面 |
ログイン / ログアウト等の認証機能、権限設定の認可、セッション管理を含む重要な画面 |
| 診断期間 |
最短3週間~1ヶ月以内 |
最短1ヶ月~3ヶ月 |
| 適合性 |
個人情報を取り扱わないWebサイトなど |
セキュリティ対策を強化したい重要なWebサイト |
他のお客様の予約状況によりご案内が前後する可能性がございます。
特定の画面や機能など、心配な部分や注意して見ておきたい部分には、オプションサービスにて診断員による目視診断を追加できます。
代表的な例:
SQLインジェクションなど
初回診断の報告書ご提出日から3カ月以内のお申し出に限り、検出された脆弱性に対して無償で再診断を実施いたします。
| OWASP TOP 10 | Webアプリケーションのセキュリティリスクに焦点を当てたガイドライン |
|---|---|
| IPA「安全なWebサイトの作り方」 | Webサイトの実装時に必要なセキュリティ対応が纏められた資料 |
ユービーセキュア社の経験とノウハウに基づき、上記の脆弱性を網羅した上で、
さらに脆弱性診断の精度を高めるべくユービーセキュア社で培った経験やノウハウから必要と判断する項目を追加しております。
今すぐ、クイックWebアプリケーション脆弱性診断で、
Webサイトのセキュリティ対策を強化しましょう!
クイックWebアプリケーション脆弱性診断では、主に下記の項目について診断を行っています。
| クロスサイトスクリプティング | パラメータを送信しているリクエストについて、各パラメータにタグ、JavaScriptを挿入し、レスポンスでそのまま表示されないか確認する。 |
|---|---|
| SQLインジェクション | パラメータを送信しているリクエストについて、各パラメータにSQL文として特殊な働きをする文字を入力して、レスポンスを確認する。 |
| OSコマンドインジェクション | パラメータを送信しているリクエストについて、各パラメータにset、cd、dirなど操作コマンドを入力し、レスポンスの変化を確認する。 |
| ディレクトリトラバーサル | パラメータを送信しているリクエストについて、各パラメータに/../../../../etc/hostsなどディレクトリを遡るような文字を入力し、レスポンスの変化を確認する。 |
| HTTPヘッダインジェクション | パラメータを送信しているリクエストで、パラメータ入力値がレスポンスヘッダに表示されるものについて、%0D%0Aの改行文字を入力し、改行が有効でないか確認する。 |
| フィッシング詐欺サイトへの誘導 | パラメータを送信しているリクエストの各パラメータについて、google、yahooなど他WebサイトのURLを入力し、そのURLにレスポンスで遷移しないか確認する。 |
| ログインフォームに関する調査 | パスワードフィールドのマスクが有効か無効か確認する。 |
|---|
| CookieのSecure属性の確認 | SSLを使用するWebサイトの場合、セッションや重要な情報を持つCookieにsecure属性が付与されているか確認する。 |
|---|---|
| セッション固定 | ログイン操作時に新たにセッションIDが発行されているか確認する。また、発行されていた場合でも、旧IDにてログイン状態にならないか確認する。 |
| クロスサイトリクエストフォージェリ(CSRF/XSRF) | ログイン情報変更、パスワード変更、退会、決済処理といった重要な操作について、特定のリクエストを送信させることで実行できてしまわないか確認する。 |
| サーバエラーメッセージ | Webアプリケーション側が想定していないような文字を入力した際に、ソースコードの一部やシステム情報などの情報を含んだエラーメッセージが表示されないか確認する。 |
|---|
IFTの料金形態はお客様ごとの個別お見積もりとなります。
Webサイトの構成によって料金に変動がございますので、まずはお問い合わせください。
| 基本料金 |
200,000円(税込) ※上記は20リクエスト分を含む料金となっております。
|
|---|
上記のプランに加えてオプションサービスもご用意しています。
複数オプションの組み合わせも可能で、ご予算・ご要望に合わせたプランを組み立てることができます。
いずれもお見積り時にご案内・ご提案いたしますので、お気軽にお問い合わせください。
| サービス概要 |
検出された脆弱性について、報告書のご提出だけではなく、対面またはWeb会議にてご説明させていただくサービスです。 |
|---|---|
| 料金 | 10万円/回(オンラインの場合 5万円/回) |
| サービス概要 |
初回診断の報告書ご提出日から3カ月以内のお申出に限り、検出された脆弱性に対して再診断を実施するサービスです。 |
|---|---|
| 料金 | 10万円/回(オンラインの場合 5万円/回) |
| サービス概要 |
特定の画面または機能のみ、自動診断ツールに加えて弊社診断員による目視診断を実施させていただくサービスです。 |
|---|---|
| 料金 | 適宜お見積もり |
診断期間終了後、5営業日を目安に、緊急・高・中・低の検出された脆弱性をまとめた報告書を納品物としてご提出させていただきます。オプションサービスを利用することによって、お客様に直接ご説明させていただく「報告会」も実施しております。報告書サンプルは下記よりご確認ください。
弊社の診断のお申し込み状況によりますが、診断スケジュールが空いているケースですと1週間程度で診断開始可能です。
ユーザーがWebブラウザで画面操作を行い、Webアプリケーションサーバーへリクエストを送信し、結果をブラウザに表示させる一連の処理を1リクエストとしてカウントしています。
例:
ログイン画面でユーザーIDとパスワードを入力してログインする:2リクエスト
商品詳細ページを表示する:1リクエスト
商品を購入する:3リクエスト