Webアプリケーション診断サービス

security_2012
Webアプリケーション診断とは、お客様のWebアプリケーションにセキュリティ上の問題がないか、擬似的な攻撃を行い診断、調査するサービスです。

ロードマップでは、セキュリティエンジニアが手動や一部ツールを利用し、webサイトの仕様や特性を加味しながら診断を行います。診断後はレポートと対策をご提案いたします。

診断対象となるサイト

  • ECサイトを運営されるお客様
  • HPを利用して集客を行っておられるお客様
  • 集客用のブランドページやランディングページを公開されているお客様
  • 店舗への予約機能が搭載されているお客様
  • 資料請求時にファイル等をダウンロードすることができる機能を搭載されているサイトを運用するお客様
  • システム改修が難しくサーバサイドでセキュリティ対策を実施する必要のあるお客様

セキュリティ診断の項目

SQLインジェクション診断 Webアプリケーションを通じて、データベースから情報を抜き出せないかチェックします
OSコマンドインジェクション診断 不正なコマンドを実行できないかチェックします
クロスサイトスクリプティング診断 不正なスクリプト文字列やHTMLタグなどを送信した際、入力文字が適切に処理されているかチェックします
セッション管理診断 権限が適切に管理されているかチェックします
認証診断 認証機能に不備がないかチェックします
ファイル拡張子診断 不正なファイル操作が行われないかチェックします
ディレクトリトラバーサル診断 ディレクトリをさかのぼり、本来閲覧不可能なファイルにアクセスできないかチェックします
権限昇格診断 ユーザ権限から管理者権限などへの不正な昇格が可能かチェックします
パラメータ書き換え診断 任意のパラメータなどを追加し、問題が発生しないかチェックします
Webアプリケーション固有の問題についての診断 その他、システム障害や利用者に影響のある問題がないかチェックします

診断の流れ

  1. 診断のお申込み

    お申込みフォームまたはお電話にてお申込みください。
    診断ドメイン内で危険度の高いページを診断します。

  2. サイト確認

    診断対象サイトの確認及びヒアリングをさせて頂きます。
    対象サイトのご提示及びテスト用アカウントの発行をお願いします。

  3. 遷移図作成

    診断対象サイトの遷移図を作成させて頂きます。
    ※テストデータ等のご依頼をさせて頂く場合がございます。

  4. ご提案

    診断対象範囲及び診断内容の提案及びお見積書を提出させて頂きます。
    診断スケジュールの調整をさせて頂きます。

  5. 診断の実施

    専門のエンジニアが診断を実施いたします。
    診断には5営業日を予定しております。

  6. 診断結果のご報告

Webアプリケーション診断の費用

診断費用につきましてはそれぞれのケースで異なりますので、まずはご相談ください。