Webアプリケーション診断サービス

サイバー攻撃のビジネスインパクトが大きなサイトに対し細部までの診断を実施!
Webサービスへ外部から擬似攻撃を行い、対象Webサイトの脆弱性を診断致します。Webサーバ上で稼動するアプリケーションに対し、手動診断及び最も信頼性の高いツールを組み合わせた当社独自の診断手法により、SQLインジェクションやクロスサイトスクリプティングを始めとする脆弱性30項目のセキュリティ診断を行います。当社独自の診断手法は、特殊な脆弱性も検知可能な高品質な診断サービスです。これにより、対象となるWebサイトの機密(重要)情報漏洩、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。

手動診断 ※1URLから60URL規模のサイトにおすすめ

機密性が高いデータを扱うサイトの診断対象を絞り、より細部までの診断を実施したい企業におすすめ!

スタンダード診断

IPA(独立行政法人情報処理推進機構)が最低限必要としているWebアプリケーションの診断項目であるWeb健康診断及び診断会社の多くが実施している診断項目を網羅している業界標準と呼べる診断です。

アドバンスド診断

スタンダード診断に加え対象サイト特有の脆弱性に対する診断項目を加えた細部までのチェックが可能な最上級レベルの診断です。

診断項目一覧

項番 診断項目 概要 スタンダード アドバンスド
1 SQLインジェクションの脆弱性 Webアプリケーションを経由したデータベースの不正操作ができないかを検査
2 クロスサイトスクリプティングの脆弱性 利用者のブラウザ上で悪意あるスクリプトが実行されないかを検査
3 クロスサイトリクエストフォージェリの脆弱性 利用者の意図しない情報登録、更新等の操作が実行されないかを検査
4 OSコマンドインジェクションの脆弱性 サーバ上で悪意あるOSコマンドの実行ができないかを検査
5 Webコンテンツのディレクトリ一覧が閲覧可能 ディレクトリ内のファイル一覧表示ができないかを検査
6 メールヘッダインジェクションの脆弱性 メール送信機能において、件名や差出人の変更等のメールヘッダの操作ができないかを検査
7 ディレクトリトラバーサルの脆弱性 本来アクセスできないファイルへアクセスできてしまわないかを検査
8 オープンリダイレクトの脆弱性 利用者が悪意あるURLへリダイレクトされないかを検査
9 HTTPヘッダインジェクションの脆弱性 悪意あるHTTPレスポンスヘッダの追加ができないかを検査
10 不適切な認証制御 認証前に認証後のページにアクセスできないかを検査
11 セッションIDが推測可能 セッションIDが容易に推測できないかを検査
12 セッションフィクセーションの脆弱性 認証前に固定したセッションIDを利用したセッションハイジャックが行われないかを検査
13 Cookieのsecure属性における問題 セッションIDにsecure属性が付与されているかを検査
14 不適切な認可制御 本来アクセスできない他の利用者のデータにアクセスできないかを検査
15 不適切なクエリストリングの利用 クエリストリングにIDやパスワード等の重要な情報が含まれていないかを検査
16 不適切なCookieの利用 CookieにIDやパスワード等の重要な情報が含まれていないかを検査
17 ログアウト機能における問題 ログアウト機能により、適切にセッションが破棄されているかを検査
18 不適切なエラーメッセージ エラーメッセージから使用されているIDのような情報が判別可能かを検査
19 不適切なパスワード保存 パスワードが平文、または元に戻せる状態で保存されていないかを検査
20 エラーページによるWebアプリケーション情報の漏えい デバッグ機能、スタックトレース等により攻撃者に有用なメッセージが表示されていないかを検査
21 自動返信メールの内容を改ざん可能 自動返信メールを送信する機能において、メール内容を改ざんされないかを検査
22 HTTPヘッダにおける問題 レスポンスヘッダに、クリックジャッキング対策のようなセキュリティ向上が期待できるヘッダフィールドが含まれているかを検査
23 SSIインジェクションの脆弱性 悪意あるSSIスクリプトによる不正な操作が行われないかを検査
24 XMLインジェクションの脆弱性 悪意あるXMLを含むリクエストを送信することで不正な操作が行われないかを検査
25 XPathインジェクションの脆弱性 悪意あるXPathクエリーを発行することで不正な操作が行われないかを検査
26 LDAPインジェクションの脆弱性 悪意あるLDAPクエリーを発行することで不正な操作が行われないかを検査
27 hiddenパラメータ改ざんによる不正な情報の登録が可能 商品価格の改ざんのような不正な情報の入力ができないかを検査
28 不適切なhiddenパラメータの利用 hiddenパラメータに機密情報を格納していないかを検査
29 SSLサーバ証明書に問題 証明書の信頼性を低下させる問題がないかを検査
30 SSLの利用における問題 適切に通信が暗号化されてるかを検査
31 クライアントサイドコメントによる情報漏えい コメントに攻撃者にとって有用な情報になりえる不適切な内容が含まれていないかを検査
32 Webアプリケーションのロジックに問題 上記項目に該当しない、診断対象固有の問題に対する検査

スタンダード/アドバンスド診断 料金

サービスメニュー 単位 標準価格 備考
スタンダード診断サービス 基本料金 ¥250,000 1リクエストの診断料金及び報告書作成費が含まれます。
追加オプション 1リクエスト ¥40,000 2リクエスト以降画面追加毎に料金加算致します。
オンサイト報告会 1回 ¥50,000  
サービスメニュー 単位 標準価格 備考
アドバンスド診断サービス 基本料金 ¥250,000 1リクエストの診断料金及び報告書作成費が含まれます。
追加オプション 1リクエスト ¥50,000 2リクエスト以降リクエスト追加毎に料金加算致します。
オンサイト報告会 1回 ¥50,000  

ツール診断手動診断

膨大な対象ページに対して効率良く診断を実施したい企業様におすすめ!

ハイブリッド診断 

膨大な動的対象ページから必要最小限の診断対象の選定を実施致します。
ツールで診断対象全体のスキャンを実施し、脆弱性が検出された箇所を診断員が確認する事で誤検知を防ぎます。
またツールでは診断が出来ない箇所に対して手動で診断を実施致します。

サービス提供に必要な環境

【 診断用の検証環境 】

  • 診断に際しては、検証環境のご用意をお願い致します。
  • 本番環境上の動的ページに対するツールの実行は、稼働サービスの停止、DBの破壊等が考えられるため実施していません。
  • アルファネットからアクセス可能な検証環境のご用意をお願い致します。【 ツールの実行時間帯 】
  • ツールの実行にあたり、効率化を図るためバッチファイルを利用します。 夜間時間帯についても、ツールの実行可能な環境のご用意をお願い致します。

ハイブリッド診断 料金

セキュリティ
サービス名称
サービス概要 成果物 標準価格
Ⅰ. ハイブリッド診断
基本サービス
■診断対象選定
診断対象サイトをクロールして、診断対象候補を選定します。
・診断対象URLリスト
・ツール結果レポート
・診断結果報告書
¥1,000,000
■ツールによるスキャン(35リクエストまで)
診断対象URLリストを元にツールにより脆弱性を診断します。
■ツール結果レポート作成
ツールの出力結果を元に検出脆弱性の手動検証を行い、検証結果報告書を作成します。
■診断結果報告書作成
手動診断、ツールの出力レポート、及びツールの検出脆弱性の解析結果を元に結果報告書作成します。(※1)
Ⅱ. ハイブリッド診断
追加 オプション
■ツールによるスキャン
36リクエスト~100リクエストまで
+¥10,000
(1リクエスト毎)
■ツールによるスキャン
101リクエスト~
+¥8,000
(1リクエスト毎)
■手動診断
ツールで診断ができない部分に対して、手動により脆弱性を診断します。
+¥40,000
(1リクエスト毎)
■オンサイト報告会
報告書の内容を元に報告会を実施します。
¥50,000

ピックアップ記事

  1. IPA(独立行政法人 情報処理推進機構)から発表された「情報セキュリティ10大脅威 2018」では組…
  2. 忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩 Webセキュリティをどこで…
  3. 「ローカルプロキシツール(BurpSuite)の紹介」 ローカルプロキシツールの有効性 We…
ページ上部へ戻る