WebAPI/IoTサーバサイド脆弱性診断とは
Webアプリやスマートフォンアプリの通信先WebAPIに対し、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い(ブラックボックステスト) 、脆弱性の有無と対策手段を明らかにし、レポートにまとめてご報告するサービスです。診断中に深刻な脆弱性が発見された場合は、対策を含めて即ご報告致します。
サービスの特長
万全のチーム体制
マニュアルによる丁寧な検証
制作ベンダゆえのノウハウと丁寧なレポート
豊富な導入実績
![](https://www.proactivedefense.jp/wp-content/uploads/2022/09/938238b1b2c4872476dc082d76dfd3e8-1.png)
サービスご提供イメージ
![](https://www.proactivedefense.jp/wp-content/uploads/2022/08/da143135e3a34103f873c9759cb3c21c-1600x900.jpg)
主な診断項目
診断項目 | 左記脆弱性が存在することによって被る被害例 |
Brute Force | 総当たり攻撃IDやパスワードが簡単に推測可能であり、管理者や他のユーザに成りすまされてしまいます。 |
Weak Password Recovery Validation | もろいパスワード復元の検証ユーザがパスワードを忘れた際の回復方法に問題があり、パスワードの情報が外部に漏えいしてしまいます。 |
Session Prediction | セッションの推測セッション情報が推測しやすい値の場合、攻撃者は正しい値を推測し、管理者やユーザに成りすますことができます。 |
Insufficient Session Expiration | 不適切な承認承認が不適切だと、アクセス権限の高いコンテンツや機能へのアクセスを認めてしまいます。これにより、攻撃者が他のユーザや管理者に成りすます危険性があります。 |
OS Commanding | OS のコマンド実行サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 |
SQL Injection | SQL インジェクションDBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります |
Information Leakage | 情報漏洩ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。 |
アプリケーションの特定 Fingerprinting | ウェブサーバ・ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。 |
成果物サンプル
![](https://www.proactivedefense.jp/wp-content/uploads/2022/12/c1b3c6591312fc0b9da50718544dfcae.png)
![](https://www.proactivedefense.jp/wp-content/uploads/2022/12/79c3f9f1ef694c9a698b146939b0aa9b.png)
![](https://www.proactivedefense.jp/wp-content/uploads/2022/12/6fa771dfb5057675589cedc872b7d19b.png)
![](https://www.proactivedefense.jp/wp-content/uploads/2022/12/678cf59a67446751f3d5ef4d8ba78a85.png)
サービスの特長
万全のチーム体制
高度認定資格であるGIAC資格などの取得者を要する、最高技術レベルのチーム体制にて診断を実施しています。技術力には定評があります。
マニュアルによる丁寧な検証
ツールだけのレポートではないマニュアル診断を実施しています。1機能ごと診断した結果を診断員が実際に検証し、真の脆弱性かどうかを判断しています。また問題箇所は実際のキャプチャーを報告資料に明示しますので、一目で脆弱性が理解出来ます。
制作ベンダゆえのノウハウと
丁寧なレポート
実際にサイトを数多く制作してきた開発ベンダゆえのノウハウがあります。診断結果を分かりやすく図解したレポートを作成し、Webサイトの現状と問題点をご報告いたします。さらに、問題箇所をわかりやすく解説し、脆弱性の対策についてもご提案致します。解説については、すべて弊社セキュリティチームメンバーが記述しますので、ツールが自動的に生成した説明とは、分かりやすさが違います。
豊富な導入実績
業界としていち早く診断サービスを立ち上げ、多種多様な業界と規模のWebサイトの診断を実施してきました。診断実績数は1000サイト以上と豊富な実績がございますので、安心してご依頼ください。
導入の流れ
STEP
サービスご契約
- 機密保持契約の締結、情報提供
- お見積
- ご発注
STEP
診断事前調整
- 診断スケジュール調整
- ヒアリングシートのご確認、ご記入
STEP
弊社にて診断および報告書作成
- 診断
- 深刻な問題が発見された場合は速報のご提出
- 報告書作成および納品
STEP
オンライン報告会
- オンライン報告会にて結果をご報告
STEP
再診断実施(オプション)
- オプションで再診断をお申込みいただいている場合、スケジュール調整の上実施
価格
診断対象サイトのAPI本数により価格が変動します。
サービスプラン | 15項目診断 |
基本料金 | 22 万円 |
本数単価 | 3.85 万円 / 1 本 |
報告 | 問題箇所と対策方法について、詳細を報告書にまとめご報告します。 クリティカルな脆弱性が発見された場合、当日中に対策方法をご報告します。 |
再診断(オプション) | 初回診断価格の3割 |
関連サービス
あわせて読みたい
![](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
![](https://www.proactivedefense.jp/wp-content/uploads/2022/09/11fbd62c2c08080ec817f1be6471b1fb-382x296.png)
Webアプリケーション脆弱性診断サービス
Webアプリケーション脆弱性診断とは Webサイトにおけるコンテンツ層に対して、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い(ブラックボックス...
あわせて読みたい
![](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
![](https://www.proactivedefense.jp/wp-content/uploads/2022/09/9748bcc453c8aa68e6dfabd3e51270c4-382x283.png)
クラウドセキュリティ設定診断サービス
クラウドセキュリティ設定診断とは クラウドプラットフォームに存在する、様々なリソースに対する設定がセキュアになっているかどうかを診断するサービスです。各クラ...
あわせて読みたい
![](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
![](https://www.proactivedefense.jp/wp-content/uploads/2022/09/61e9db8c142105d1bfb6c20579973770-382x282.png)
プラットフォーム脆弱性診断サービス
プラットフォーム脆弱性診断とは 診断員が診断対象サーバに対してスキャンをベースとした検査を行い、検出されたセキュリティ上の問題点の内容と、その対策方法をレポ...
あわせて読みたい
![](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
![](https://www.proactivedefense.jp/wp-content/uploads/2022/09/938238b1b2c4872476dc082d76dfd3e8-1-382x275.png)
WebAPI/IoTサーバサイド脆弱性診断サービス
WebAPI/IoTサーバサイド脆弱性診断とは Webアプリやスマートフォンアプリの通信先WebAPIに対し、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い...
あわせて読みたい
![](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
![](https://www.proactivedefense.jp/wp-content/uploads/2022/09/7e8153834de4cb19c2be9dc5b35238a5-382x291.png)
スマートフォンアプリケーション脆弱性診断サービス
スマートフォンアプリケーション脆弱性診断とは スマートフォンアプリ(Androidアプリ・iOSアプリ)に対して、複数の診断ツールと手動診断を組み合わせて脆弱性を診断す...
ブログ
-
【新任のセキュリティ担当者様向け】セキュリティ対策の概要と必要性を解説
IT化が進んでいる現代社会において、セキュリティ対策は企業にとってはもはや必須とも言えます。セキュリティ対策推進のご担当者様におかれましては、重要性や方法を理解し、適切な手法やシステムを導入することが求められています。本ブログでは新任のご… -
ソーシャルエンジニアリングとは?攻撃手法や企業ができる対策について解説
昨今の企業はネットワーク上の脅威だけでなく、「ソーシャルエンジニアリング」のリスクへも備える必要があります。従業員が悪意のある攻撃を回避できるように、事前の対策が重要視されます。本記事ではソーシャルエンジニアリングの基本と攻撃手法、具体… -
サプライチェーン攻撃のセキュリティ対策について|攻撃の手法やリスクを解説
近年はサプライチェーンのプロセスを狙った「サプライチェーン攻撃」が増加しています。IPA(独立行政法人 情報処理推進機構)より毎年発表される「情報セキュリティ10大脅威」2023年版ではサプライチェーン攻撃が2位となり、近年連続して上位にランクイン…