API脆弱性診断

API脆弱性診断
*
*
*
*
*
*
*
*
*

システムの裏側にあるAPIの脆弱性を調査

API脆弱性診断では、スマートフォン用のアプリケーションのバックエンドで使われているAPIや、SPA(シングルページアプリケーション)のバックエンドで使われているAPIに対して手動及び自動ツールを用いて脆弱性診断を行います。レポートについては、通常の診断結果のレポートに加え開発者向けの再現手法のレポートの2種類を提出いたします。また、診断中に緊急度の高い脆弱性が発見された場合は、メールにてご連絡いたします。
本サービスは、経済産業省の情報セキュリティサービス基準に基づいた情報セキュリティサービス基準審査登録制度(サービス登録番号:021-0004-20)に登録されています。

  • オンサイトでの診断の場合は、別途お見積りとなります。

サービスの流れ

01.

  • ヒアリングシート等を元に事前調査を行いお見積

02.

  • 診断日程の調整
  • 診断対象へのアクセス確認
  • 必要に応じて診断に向けたネットワークやセキュリティ製品の設定(お客様側)

03.

  • リモートにて診断を実施
  • 緊急度の高い脆弱性が発見された場合はチャットやメールにてご連絡
  • 複数の診断員による脆弱性の評価

04.

  • 診断結果をもとにレポートを作成
  • 複数の診断員によるレポートのレビュー

05.

  • チャットやメールにてレポートを提出
  • 報告会の実施(オプション)
  • 再診断は一度まで無償

料金

スタンダートプラン

内容 金額
基本料金(10リクエストまで) 40万円(税抜)
追加診断料金 15万円(税抜)/ 5リクエスト
再診断 危険度Middle以上の脆弱性の再診断は無償
報告会 15万円(税抜)/ 1回

アドバンスドプラン

内容 金額
基本料金(50リクエストまで) 110万円(税抜)
追加診断料金 20万円(税抜)/ 10リクエスト
再診断 危険度Middle以上の脆弱性の再診断は無償
報告会 15万円(税抜)/ 1回

主な診断項目

区分 主な診断項目
認証
  • 不適切な認証
  • パスワードリマインダの検証
  • パスワードポリシー
承認
  • セッションの推測
  • セッションの固定
  • 不適切な承認
  • セッションの盗難
  • アクセストークン等の検証
クライアント側での攻撃
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • コンテンツの詐称
  • クリックジャッキング
コマンドの実行
  • バッファオーバーフロー
  • 書式文字列攻撃
  • LDAPインジェクション
  • OSコマンドインジェクション
  • SQLインジェクション
  • SSIインジェクション
  • XMLインジェクション
  • パラメータ改ざん
情報漏洩
  • ディレクトリインデクシング
  • 推測可能なリソース位置
  • ウェブサーバ・アプリケーションの特定
ロジックを狙った攻撃
  • 機能の悪用
  • パストラバーサル
  • リダイレクタ
  • 不適切なプロセスの検証
その他
  • 診断中に見つかったバグとみられる動作や上記以外の脆弱性が発見されれば報告します。

お問い合わせ・ご相談

Contact Us

お仕事のご相談やお見積、詳しいご相談をされたい場合には
お問い合わせフォームをご活用ください。

弊社へのお問い合わせ・ご相談はこちら