Webアプリケーションの脆弱性は、設計や実装の不備により、脆弱性を悪用される事が大多数です。 脆弱性が悪用されると、情報漏洩やサービスの不正利用により、サービス停止になるケースがあります。株式会社Chronoでは攻撃者視点から様々な疑似攻撃を行い、データの取り扱いやロジックや実装の不備を細かく検証し安全性を調査します。
Webアプリケーション以外にもWebSocket等プロトコルの診断も実施していますのでお気軽にご相談ください。
診断プラン
ライト診断
ツールスキャンをメインに診断します。予算が限られている企業様にオススメします。診断結果を報告書として作成し、問題点や改善案をご提示します。 ツールスキャンだけで良い場合や、費用が限られている場合にオススメとなります。
参考価格:1サイト (20画面遷移) 200,000円〜
クイック診断(リスクレベル高い脆弱性のみの診断プラン)
ツールスキャンに加え手動診断を実施します。リスクレベルの高いものに絞り脆弱性診断を実施し診断結果を報告書として作成し、問題点や改善案をご提示します。
フル診断に比べ短い期間で実施が可能です。 リスクレベルの高い脆弱性のみ改修をしたい企業様にオススメとなります。
参考価格:1サイト (20画面遷移) 300,000円〜
フル診断
手動診断をベースにロジックの不備や権限の検査も含め診断し脆弱性診断を実施し診断結果を報告書として作成し、問題点や改善案をご提示します。 システムの特性や権限の不正利用などの検証を行います。セキュリティ事故を未然に防ぎたい企業様にオススメとなります。
参考価格:1サイト (20画面遷移) 400,000円〜
実施時期が確定しているものや、セキュリティ診断の日程が短いもの、ご予算に合わせた診断も可能ですので、お気軽にお問い合わせください。
お見積りについて
「概算のお見積もり」をご希望のお客様は、診断対象(システムの画面遷移数)の情報を頂けると、早めに概算お見積書の提出が可能です。 お見積もりには実際にサイトへアクセスしクローリングを実施いたします。
検査内容
株式会社Choronoでは、以下のような脆弱性を専門家視点で実施しています。(※脆弱性は一部のみ記載)
| 脆弱性名 | CVE |
|---|---|
| OSコマンドインジェクション | CWE-77 CWE-78 CWE-116 |
| SQLインジェクション | CWE-89 CWE-94 CWE-116 |
| SQL インジェクション (second order) | CWE-89 CWE-94 CWE-116 |
| ASP.NET tracing enabled | CWE-10 CWE-11 |
| パストラバーサル | CWE-22 CWE-23 CWE-35 CWE-36 |
| XML external entity インジェクション | CWE-611 |
| LDAP インジェクション | CWE-90 CWE-116 |
| XPath インジェクション | CWE-94 CWE-116 CWE-159 CWE-643 |
| XML インジェクション | CWE-91 CWE-116 CWE-159 CWE-611 CWE-776 |
| クロスサイトスクリプティング | CWE-79 CWE-80 CWE-116 CWE-159 |
| Cross-origin resource sharing | CWE-942 |
| Open redirection | CWE-601 |
| Cacheable HTTPS response | CWE-524 CWE-525 |
| クリックジャッキング対策の欠如 | CWE-693 |
| パスワード文字数の検証不備 | - |
| エラーメッセージからのアカウント推測 | - |