攻撃者(ハッカー)の視点に立ち、対象のサービスに対して擬似的な攻撃を仕掛けることで、伏在する脆弱性を発見いたします。
診断員が攻撃者の視点に立ち、対象のサービスに対して擬似的な攻撃を仕掛けることで、伏在する脆弱性を発見いたします。
診断には、経験豊富な診断員による手作業による診断とツールによる補助的な診断を併用することにより、精度の高い診断結果をお客様に提供いたします。また診断終了後、発見された脆弱性に関する詳細なレポートを作成し、再現手順や脆弱性への対策について委細の報告をさせていただきます。
お客様からの連絡をもとに、アプリケーションのシステム把握や診断対象の範囲、診断方針を検討します。その後お見積書を送付します。
※ 秘密保持契約が必要な場合はお見積前に締結します。
診断日時の調整と契約手続きをします。
ゲヒルンでは、手動診断を主とし、ツール診断は補助として診断を実施しています。攻撃者の観点から独自の手法でツールだけでは発見することができない脆弱性についても見つけ出します。
ゲヒルンの診断員による専門的な知見から脆弱性のリスクの深刻度を判定し、具体的なシナリオを仮説して脆弱性からどんな問題が引き起こされるのかを報告書にまとめます。お客様に報告書を提出後、お客様でソフトウェアの改修をするかどうかを判断いただき、改修後に再診断を実施します。
クロスサイト・スクリプティング (XSS)
SQLインジェクション
OSコマンドインジェクション
パストラバーサル
Cookieに対する属性の付与
不適切な情報開示
HTTPセキュリティヘッダ
脆弱なソフトウェアの使用
パスワード管理
乱数の問題
クロスサイトリクエストフォージェリ (CSRF)
不適切な認証
オープンリダイレクタ
サービス拒否