「自分の(自社の)Webサイトが安全か知りたい」
「診断サービスを頼みたいけど高くて手が出せない」
「試しにセキュリティ診断受けてみたい」
といった方向けのライトな診断サービスになります。
【特徴】
診断箇所と診断項目を厳選することで価格を抑えたサービスになっております。
1. 診断箇所の厳選
Webアプリケーションには脆弱性が含まれやすい動的な部分と含まれづらい静的な部分があります(静的な例:Webページの表示 / 動的な例:ログイン部分)。
本サービスでは動的な部分のみ対象として診断いたします。
動的な部分全てを診断することが理想ですが、お客様のサイトによっては量が多くなり過ぎて価格が高くなってしまうことがあります。
本サービスは気軽にお試しいただきたいので、お客様の予算に応じて動的な部分からより脆弱性が含まれる可能性が高い箇所を抜き出して診断を実施いたします。
上記診断箇所の見積もり作業に関しましては、診断前に実際にお客様のサイトにアクセスして無料で実施させていただきます。
2. 診断項目の厳選
脆弱性があると影響が大きい下記項目に絞って診断を実施いたします。
・ログイン認証の不備
・強制ブラウジング
・権限昇格
・XSS(クロスサイトスクリプティング)
・CSRF(クロスサイトリクエストフォージェリ)
・SQLインジェクション
・お客様のWebサイト固有の仕組みに対する確認
【診断員の診断実績】
官公庁を含めた約100サイトの診断実績があります。
【料金】
1リクエスト4000円
※1リクエスト=POSTやGETの通信一つ
【診断方法】
診断ツールを用いた自動診断と手動での診断作業を併せて実施いたします。
【サービスの流れ】
1. オファーを頂く(診断対象サイトのURLとご予算をご連絡ください)
↓
2. お客様サイトにアクセスし、診断箇所の選定と料金の見積もりを実施しPDFにて送付(無料)
↓
3. 同意いただけたら、診断に必要な準備をしていただきます(ログインIDの用意やテストデータの準備、IP制限の解除等)
↓
4. 診断作業の実施
↓
5. 報告書の送付(PDF)
↓
6. 質疑応答(ご不明な点等ございましたら)
↓
7. 契約終了
※実施期間は量により変動いたします。
お気軽にお声がけ下さい
【注意】
本番稼働している環境を用いた診断は実施いたしません。
※ 診断作業によって負荷がかかったり不正データが作成されたり他のお客様のデータが削除される恐れがあるためです。
見積もり作業は本番環境でも構いませんが、診断が可能な開発環境をお持ちの方のみご依頼ください(見積もり作業のみを目的としたご依頼はご遠慮ください)。
【診断対象】
本サービスはWebアプリケーションの診断であり、プラットフォーム(サーバ)や
スマートフォンアプリの診断は対象外です。
【ご準備いただくもの】
見積もり作業時
・診断対象のURL
・大体のご予算案
診断作業時
・診断対象のURL
・診断可能な実施日時
・ログインがあるサイトの場合はIDとパスワードのペアを3つ
・上位権限のアカウントが存在する場合はテスト用に上位権限のアカウントを1つ
・診断を実施するテスト環境にデータがない場合は、正常動作が確認できるだけのテストデータを
※ ご準備いただくアカウントやテストデータですが、Webサイト上でこちらで作成できる場合はご準備いただかなくても大丈夫です。
・場合によってはサイトの使い方が分かる文書