お問い合わせ
受付:平日9:00~17:30
03-3578-9001
緊急のお電話はこちら
03-3578-9055
緊急メール:119@gsx.co.jp
採用情報
JA /  EN

Web脆弱性診断クイック

ABOUT

Web脆弱性診断クイックとは

ロゴ

脆弱性診断サービスである「タイガーチームサービス」は、GSXの専門エンジニア(ホワイトハッカー)による脆弱性診断サービスの総称です。ハッカーと同様の技術を持つGSXは、「クイック&リーズナブル」な脆弱性診断をご提供しております。

本サービスは、
「急遽Webサービスをリリースする必要があり、クイックに脆弱性診断を実施する必要がある」
「予算外の投資のため、一旦脆弱性診断はリーズナブルに実施したい」
というお客様からのご要望にお応えできます。

SERVICE

サービス概要

本サービスでは、GSXのホワイトハッカーがツール診断を実施します。クイック&リーズナブルを実現するために、診断内容は必要最低限な項目に絞っております。

  • Webアプリケーション診断
    5画面遷移まで
  • サーバ設定検査
    不要なファイルがインターネットに公開されていないか、サーバの設定ミスに由来する脆弱性が無いか等

お客様から対象サイト(システム)のトップURLをご教示いただいた後、ホワイトハッカーが任意で診断対象(5画面遷移まで)を選定します。診断項目は、Webアプリケーションおよびサーバ設定検査あわせて、23項目ございます。

ご注文いただいた後、診断スケジュールの調整を行います。診断は、開始から3日後(標準)で完了、結果は報告書にまとめ、納品します。報告書納品後1週間まで、報告書記載の「脆弱性に関すること」「対策に関すること」に関するご質問をお受けします。

スケジュール概要

~前日まで

1日目

2日目

3日目

事前確認
診断
報告書納品

診断対象の23項目は以下の通りでございます。

診断項目 画面 API 備考
SQLインジェクション APIは、追加でJSONパラメータへの連結演算子によるSQL実行可否の検出などを実施
OSコマンドインジェクション APIは、追加でJSONパラメータへのコマンド挿入によるOSコマンドインジェクションを実施
リモートコード実行
オープンリダイレクト
HTTPヘッダインジェクション
SSIインジェクション
XPathインジェクション
LDAPインジェクション
XML外部実体参照
安全でないデシリアライゼーション
ディレクトリトラバーサル
クロスサイトスクリプティング APIは、追加でJSONに対するEUC-JPマルチバイト文字を利用したクロスサイトスクリプティングを実施
クロスサイトリクエストフォージェリ
平文通信
セッションフィクセーション
セッション管理不備
過度な情報漏えい
不適切なエラー処理
サービス運用妨害 APIは、追加でJSONに対する大量データを利用したサーバーエラーの発生を実施
セキュリティ設定の不備
ファイルおよびディレクトリの漏えい
脆弱性を含む製品の使用
サーバー検査

※実施の場合○|より深く実施する場合

PRICE

ご提供価格

¥300,000(税抜)

前提条件

  • 診断実施前日までに、対象サイトのトップURLをご指定くださいますよう、お願い申し上げます。
  • お客様からトップURLをご指定いただいた後、弊社が任意で5画面遷移(※1)までの対象を選定します。
  • 診断は、1日目10:00~2日目23:59まで実施します。
  • 報告会や再診断オプションはございません。
  • 診断実施中、対象となるシステムには負荷がかかります。本番環境で診断を実施した場合、ユーザーからのアクセスに対して、レスポンス遅延が発生する場合がございます。診断対象となるシステムは、可能な限り、検証環境のものをご指定いただくことを推奨します。

※1)入力⇒確認、確認⇒完了 で2画面遷移と定義します

サンプル報告書

アジェンダ

  • 1.はじめに
  • 2.検査条件
  • 3.検査項目
  • 4.評価
  • 5.総評
  • 6.検出結果サマリ
  • 7.脆弱性別検出結果詳細
  • 8.検査対象リクエスト別検出結果詳細
  • 9.検査対象ホスト別検出結果詳細
  • 10.検出された脆弱性の詳細
サンプル報告書

診断対象を明記した画面遷移図

遷移図
セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。