サービス
ソースコード診断
ソースコードにおいて、セキュリティ上の問題がないか調査・診断を行います。調査内容から脆弱性を探りセキュリティ対策に活かすことができます。
ソースコード診断について
ソースコード診断では対象システムのソースコード一式をご提供いただき、経験豊富な診断士が、ソースコード診断ツールや目視でのチェックを行い、ソースコード上に存在する脆弱性を洗い出します。外部からの診断では検出することが難しいソースコード特有の脆弱性にも対応できます。また、開発工程の途中でも部分的に診断を実施することが可能です。調査結果から具体的な対策方法をご提案いたします。
安全性を評価
外部から検出できる脆弱性に加え、内部ロジックに関わる問題も洗い出せます。
診断レポート
調査結果を元にソースコードの安全性をレポーティングいたします。
レオンのソースコード診断
多くの言語やフレームワークに対応)
Java,C/C++,PHP,Rubyなどのプログラミング言語や各種フレームワークに対応しております。
経験豊富なエンジニア
各種セキュリティ診断や、様々な言語でのシステム開発を経験しているセキュリティエンジニアが診断いたします。
柔軟な診断スケジュール
開発工程における部分的な診断等、貴社の開発スケジュールに応じた診断を実施することが可能です。
診断項目について
| 診断項目 | 内容 |
|---|---|
| インジェクションに関する項目 | 不正に⼊⼒されたデータにより、情報漏えいやサイト改ざんなどのアプリケーションの誤動作を引き起こせるか調査します |
| ファイルアップロードに関する項目 | ファイルのアップロード機能にて不正なファイルのアップロードや実行の可否を調査します |
| 認証に関する項目 | 認証強度の確認や認証を迂回して、不正にサービスを利用したり、他人になりすましてアプリケーションを利用したりできないか調査します |
| 認可制御に関する項目 | 不正に入力されたデータにより権限のない機能の使用や情報へのアクセスができないか調査します |
| セッション管理に関する項目 | セッションに関する設定不備やなりすましによる機能の悪用が可能か調査します |
| 情報漏えいに関する項目 | アプリケーションの不備により情報漏えいが発生していないか調査します |
| 不要なファイルの存在に関する項目 | 不要なファイルによる情報漏えいや公開すべきでない画面にアクセスできないか調査します |
| 既知の脆弱性に関する項目 | 既知の脆弱性の存在するソフトウェアを利用していないか調査します |
実施フローについて
以下のフローで実行いたします。
- 診断対象の確認及びヒアリングをさせて頂きます。
総ステップ数(行数)をご提示頂くか、ソースコード一式をご提示頂き弊社にて対象ステップ数を確認いたします。
- 診断範囲及び診断内容の提案及びお見積書を提出させて頂きます。
診断スケジュールの調整をさせて頂きます。
- 必要事項を記載し注文書の送付をお願いします。
- 診断実行中に重大な脆弱性が発覚した場合は速報にて通知します。
- 診断完了後、約5営業日以内に診断報告書を提出させて頂きます。
※オプションにて報告会も実施させて頂きます。
