yamoryの
脆弱性診断サービス
主な診断項目
Webアプリケーション診断
| 認証 | 不適切な認証 パスワードポリシーの不備 パスワードリマインダーの不備 セッション情報の推測、 グアウト機能の不備 アカウントロック機能の不備 CookieのSecure属性の不備 エラーメッセージによるユーザアカウントの推測 |
|---|---|
| 権限 | 認可制御の不備 権限昇格 |
| クライアント側の攻撃 | Cross Origin Resource Sharingポリシーの不備 クリックジャッキング |
| インジェクション | クロスサイトスクリプティング HTTPヘッダインジェクション SQLインジェクション OSコマンドインジェクション コードインジェクション XXEインジェクション |
| ロジックを狙った攻撃 | 不正な機能の利用 メールフォームの悪用 アップロード機能の問題 オープンリダイレクト ディレクトリトラバーサル CSRF |
スマートフォンアプリケーション診断
| 通信方法 | 平文通信 証明書の改ざん |
|---|---|
| データ保存方法 | 端末への機微データの保存 バックアップ等の不適切な情報の保存 |
| 解析 | ログへの重要情報出力 アプリケーションへの重要情報の埋め込み 不適切な設定の確認 |
yamory診断サービスの強み
脆弱性管理クラウドサービスを運営
yamoryでは独自の脆弱性DBを利用した脆弱性管理サービス/CSPMサービス提供をしています。そのため、幅広い脆弱性に関する知見、最新の脆弱性情報のキャッチアップを得意としています。
診断士の技術力
- 実務経験豊富で専門資格を有する診断士が在籍しています
- 開発経験のある診断士
- 海外のオフェンシブセキュリティの資格保持(OSCP)
- 新たな脆弱性の報告実績(CVE-2021-43811等)
ご利用の流れ
診断サービスのよくあるご質問
| Q. | GraphQLの場合は、どのようにリクエスト数をカウントすればいいですか? |
|---|---|
| A. | QueryとMutationの数がリクエスト数となります。 |
| Q. | 公開APIへの診断も可能ですか? |
|---|---|
| A. | 可能です。公開APIの仕様書など、リクエスト方法がわかる資料の提供をお願いします。 |
| Q. | 外からリクエストされることが想定されていない内部APIへの診断も可能ですか? |
|---|---|
| A. | アクセスできる手段を提供して頂ける場合は診断可能となります。直接アクセスできない環境下にある内部APIへの診断はできません。 |
