TOP >  サービス案内 >  スタンダード/アドバンスド診断サービス
prd-top-pict

動的Webアプリケーション診断サービス

【 スタンダード診断サービス 】

IPA(独立行政法人情報処理推進機構)が最低限必要としているWebアプリケーションの診断項目であるWeb健康診断及び診断会社の多くが実施している診断項目を網羅している業界標準と呼べる診断です。

【 アドバンスド診断サービス 】

スタンダード診断に加え対象サイト特有の脆弱性に対する診断項目を加えた細部までのチェックが可能な最上級レベルの診断です。

 

診断項目一覧

項番 診断項目 概要 スタンダード アドバンスド
1 SQLインジェクションの脆弱性 Webアプリケーションを経由したデータベースの不正操作ができないかを検査
2 クロスサイトスクリプティングの脆弱性 利用者のブラウザ上で悪意あるスクリプトが実行されないかを検査
3 クロスサイトリクエストフォージェリの脆弱性 利用者の意図しない情報登録、更新等の操作が実行されないかを検査
4 OSコマンドインジェクションの脆弱性 サーバ上で悪意あるOSコマンドの実行ができないかを検査
5 Webコンテンツのディレクトリ一覧が閲覧可能 ディレクトリ内のファイル一覧表示ができないかを検査
6 メールヘッダインジェクションの脆弱性 メール送信機能において、件名や差出人の変更等のメールヘッダの操作ができないかを検査
7 ディレクトリトラバーサルの脆弱性 本来アクセスできないファイルへアクセスできてしまわないかを検査
8 オープンリダイレクトの脆弱性 利用者が悪意あるURLへリダイレクトされないかを検査
9 HTTPヘッダインジェクションの脆弱性 悪意あるHTTPレスポンスヘッダの追加ができないかを検査
10 不適切な認証制御 認証前に認証後のページにアクセスできないかを検査
11 セッションIDが推測可能 セッションIDが容易に推測できないかを検査
12 セッションフィクセーションの脆弱性 認証前に固定したセッションIDを利用したセッションハイジャックが行われないかを検査
13 Cookieのsecure属性における問題 セッションIDにsecure属性が付与されているかを検査
14 不適切な認可制御 本来アクセスできない他の利用者のデータにアクセスできないかを検査
15 不適切なクエリストリングの利用 クエリストリングにIDやパスワード等の重要な情報が含まれていないかを検査
16 不適切なCookieの利用 CookieにIDやパスワード等の重要な情報が含まれていないかを検査
17 ログアウト機能における問題 ログアウト機能により、適切にセッションが破棄されているかを検査
18 不適切なエラーメッセージ エラーメッセージから使用されているIDのような情報が判別可能かを検査
19 不適切なパスワード保存 パスワードが平文、または元に戻せる状態で保存されていないかを検査
20 エラーページによるWebアプリケーション情報の漏えい デバッグ機能、スタックトレース等により攻撃者に有用なメッセージが表示されていないかを検査
21 自動返信メールの内容を改ざん可能 自動返信メールを送信する機能において、メール内容を改ざんされないかを検査
22 HTTPヘッダにおける問題 レスポンスヘッダに、クリックジャッキング対策のようなセキュリティ向上が期待できるヘッダフィールドが含まれているかを検査
23 SSIインジェクションの脆弱性 悪意あるSSIスクリプトによる不正な操作が行われないかを検査
24 XMLインジェクションの脆弱性 悪意あるXMLを含むリクエストを送信することで不正な操作が行われないかを検査
25 XPathインジェクションの脆弱性 悪意あるXPathクエリーを発行することで不正な操作が行われないかを検査
26 LDAPインジェクションの脆弱性 悪意あるLDAPクエリーを発行することで不正な操作が行われないかを検査
27 hiddenパラメータ改ざんによる不正な情報の登録が可能 商品価格の改ざんのような不正な情報の入力ができないかを検査
28 不適切なhiddenパラメータの利用 hiddenパラメータに機密情報を格納していないかを検査
29 SSLサーバ証明書に問題 証明書の信頼性を低下させる問題がないかを検査
30 SSLの利用における問題 適切に通信が暗号化されてるかを検査

31

クライアントサイドコメントによる情報漏えい コメントに攻撃者にとって有用な情報になりえる不適切な内容が含まれていないかを検査
32 Webアプリケーションのロジックに問題 上記項目に該当しない、診断対象固有の問題に対する検査

 

スタンダード/アドバンスド診断サービス

サービスメニュー 単位 標準価格 備考
スタンダード診断サービス 基本料金 \250,000 1リクエストの診断料金及び報告書作成費が含まれます。
追加オプション 1リクエスト \40,000 2リクエスト以降画面追加毎に料金加算致します。
オンサイト報告会 1回 \50,000

 

サービスメニュー 単位 標準価格 備考
アドバンスド診断サービス 基本料金 \250,000 1リクエストの診断料金及び報告書作成費が含まれます。
追加オプション 1リクエスト \50,000 2リクエスト以降リクエスト追加毎に料金加算致します。
オンサイト報告会 1回 \50,000  

※Webアプリケーション診断サービスは、対象Webサイトのリクエスト数により料金加算を行います。
※オンサイト報告会/診断オプション、をご契約で遠隔地(当社東京事務所から30km以上)の場合、
 宿泊費(\10,000/泊)・交通費(実費)が別途かかります。
※1日に可能な診断対象数は、診断環境/内容により変更となる場合があります。
※作業時間帯は9:00~17:00です。深夜・休日の場合は料金割増(弊社規定に準拠)となります。
 平日・夜間(17:00-22:00)・・・1.25 倍
 平日・深夜(22:00- 9:00)及び休日・日中( 9:00-17:00) ・・・1.5 倍
 休日・夜間(17:00-22:00)・・・1.75 倍
 休日・深夜(22:00- 9:00)・・・2.0 倍

pagetop
プロが診断!セキュリティ対策に関するお問い合わせはこちらからどうぞ