Web脆弱性診断クイックとは
脆弱性診断サービスである「タイガーチームサービス」は、GSXの専門エンジニア(ホワイトハッカー)による脆弱性診断サービスの総称です。ハッカーと同様の技術を持つGSXは、「クイック&リーズナブル」な脆弱性診断をご提供しております。
本サービスは、
「急遽Webサービスをリリースする必要があり、クイックに脆弱性診断を実施する必要がある」
「予算外の投資のため、一旦脆弱性診断はリーズナブルに実施したい」
というお客様からのご要望にお応えできます。
サービス概要
本サービスでは、GSXのホワイトハッカーがツール診断を実施します。クイック&リーズナブルを実現するために、診断内容は必要最低限な項目に絞っております。
- Webアプリケーション診断
5画面遷移まで - サーバ設定検査
不要なファイルがインターネットに公開されていないか、サーバの設定ミスに由来する脆弱性が無いか等
お客様から対象サイト(システム)のトップURLをご教示いただいた後、ホワイトハッカーが任意で診断対象(5画面遷移まで)を選定します。診断項目は、Webアプリケーションおよびサーバ設定検査あわせて、23項目ございます。
ご注文いただいた後、診断スケジュールの調整を行います。診断は、開始から3日後(標準)で完了、結果は報告書にまとめ、納品します。報告書納品後1週間まで、報告書記載の「脆弱性に関すること」「対策に関すること」に関するご質問をお受けします。
スケジュール概要
~前日まで
1日目
2日目
3日目
事前確認
診断
報告書納品
診断対象の23項目は以下の通りでございます。
| 診断項目 | 画面 | API | 備考 |
|---|---|---|---|
| SQLインジェクション | ○ | ◎ | APIは、追加でJSONパラメータへの連結演算子によるSQL実行可否の検出などを実施 |
| OSコマンドインジェクション | ○ | ◎ | APIは、追加でJSONパラメータへのコマンド挿入によるOSコマンドインジェクションを実施 |
| リモートコード実行 | ○ | ||
| オープンリダイレクト | ○ | ○ | |
| HTTPヘッダインジェクション | ○ | ○ | |
| SSIインジェクション | ○ | ||
| XPathインジェクション | ○ | ○ | |
| LDAPインジェクション | ○ | ○ | |
| XML外部実体参照 | ○ | ○ | |
| 安全でないデシリアライゼーション | ○ | ○ | |
| ディレクトリトラバーサル | ○ | ||
| クロスサイトスクリプティング | ○ | ◎ | APIは、追加でJSONに対するEUC-JPマルチバイト文字を利用したクロスサイトスクリプティングを実施 |
| クロスサイトリクエストフォージェリ | ○ | ○ | |
| 平文通信 | ○ | ○ | |
| セッションフィクセーション | ○ | ○ | |
| セッション管理不備 | ○ | ○ | |
| 過度な情報漏えい | ○ | ||
| 不適切なエラー処理 | ○ | ○ | |
| サービス運用妨害 | ○ | ◎ | APIは、追加でJSONに対する大量データを利用したサーバーエラーの発生を実施 |
| セキュリティ設定の不備 | ○ | ○ | |
| ファイルおよびディレクトリの漏えい | ○ | ||
| 脆弱性を含む製品の使用 | ○ | ○ | |
| サーバー検査 | ○ | ○ |
※実施の場合○|より深く実施する場合◎
ご提供価格
¥300,000(税抜)
前提条件
- 診断実施前日までに、対象サイトのトップURLをご指定くださいますよう、お願い申し上げます。
- お客様からトップURLをご指定いただいた後、弊社が任意で5画面遷移(※1)までの対象を選定します。
- 診断は、1日目10:00~2日目23:59まで実施します。
- 報告会や再診断オプションはございません。
- 診断実施中、対象となるシステムには負荷がかかります。本番環境で診断を実施した場合、ユーザーからのアクセスに対して、レスポンス遅延が発生する場合がございます。診断対象となるシステムは、可能な限り、検証環境のものをご指定いただくことを推奨します。
※1)入力⇒確認、確認⇒完了 で2画面遷移と定義します
サンプル報告書
アジェンダ
- 1.はじめに
- 2.検査条件
- 3.検査項目
- 4.評価
- 5.総評
- 6.検出結果サマリ
- 7.脆弱性別検出結果詳細
- 8.検査対象リクエスト別検出結果詳細
- 9.検査対象ホスト別検出結果詳細
- 10.検出された脆弱性の詳細
診断対象を明記した画面遷移図
