Webペネトレーションテスト

インターネットを介して、Webブラウザ上で動作するアプリケーションを対象としたWebアプリケーションのペネトレーションテスト(侵入テスト)を行います。
エルフコアではWebアプリケーションのペネトレーションテストにおいて常に業界をリードし、様々なプログラミング言語や環境の脆弱性を特定します。大規模なAWS環境におけるWebアプリケーションからレガシーアプリケーションまで、世界中のデータ保護に貢献してまいりました。
数十件のゼロデイ脆弱性が公開され、私たちの調査結果がニュースに取り上げられるなど、私たちは常に一流のセキュリティテストとして証明しています。

私たちのペネトレーションテストが選ばれる理由

 
ポイントを絞った レポート“で費用削減!
従来の脆弱性診断やペネトレーションテストの費用は、500万円から1,000万円の価格帯となる場合が多く、導入のハードルが高くなっています。

弊社のサービスは、脆弱性診断と結果のレポート作成に重点を置き、高額な原因となっている事前打ち合わせやレポートの作成に時間をかけないことで、低価格を実現しています。

低価格=クオリティの低いテストではありません。必要な項目を絞ったテストを行っているため、これまでに中小企業から大企業まで、さまざまな企業に導入いただいており、高い評価をいただいています。

また、費用を抑えられるだけでなく、期間も短く行えるため、迅速なテストを実現しています。

Webペネトレーションテスト方法論

Elves Core は、構造化された方法論に基づいてテストを行います。

Web アプリケーションの評価を行う前に、ElvesCoreでクライアントの明確な範囲を定義します。この段階では、評価のための快適な基盤を確立するために、ElvesCore とクライアント組織の間のオープンなコミュニケーションが推奨されます。

  • 組織のどのアプリケーションまたはドメインをスキャン/テストするかを決定する
  • 評価からの除外を周知する (特定のページ/サブドメイン)
  • 公式テスト期間の決定とタイムゾーンの確認

ElvesCoreエンジニアは、無数の OSINT (Open Source Intelligence) とOWASP Top 10ツールとテクニックを使用して、ターゲットに関する可能な限り多くの情報を収集します。収集されたデータは組織の運営状況を理解するのに役立ち、取り組みの進行に応じてリスクを正確に評価できるようになります。対象となるインテリジェンスには次のものが含まれる場合があります

  • Google によって流出した PDF、DOCX、XLSX、およびその他のファイル
  • 過去の侵害/認証情報漏洩
  • アプリケーション開発者によるフォーラム投稿の公開
  • robots.txt ファイルの公開

この段階では、より高度な情報収集のための戦術の中でも、自動化されたスクリプトとツールを組み込みます。 ElvesCore のエンジニアは、考えられる攻撃ベクトルを綿密に調査します。この段階で収集された情報は、次の段階での活用の基礎となります。

  • ディレクトリ/サブドメインの列挙
  • クラウド サービスの構成ミスの可能性を確認する
  • 既知の脆弱性とアプリケーションおよび関連サービスの関連付け

慎重に検討した上で、Web アプリ内で見つかった脆弱性への攻撃を開始します。これは、発見された攻撃ベクトルの存在を確認しながら、アプリケーションとそのデータを保護するために慎重に行われます。この段階では、次のような攻撃が実行される可能性があります。

  • SQL インジェクションおよび/またはクロスサイト スクリプティング
  • 認証メカニズムに対する侵害された認証情報とbrute force toolsの使用
  • Web アプリの機能を監視して、安全でないプロトコルと機能を検出する

レポートは評価プロセスの最終段階です。 ElvesCore アナリストは、取得したすべての情報を集約し、調査結果の徹底的かつ包括的な詳細をクライアントに提供します。このレポートは、全体的なリスクの大まかな内訳から始まり、アプリケーションの保護システムとロジックの長所と短所の両方を強調しています。また、ビジネス リーダーがアプリケーションに関して十分な情報に基づいた意思決定を行えるよう支援する戦略的な推奨事項も含まれています。レポートではさらに、テスト プロセスや IT チームの修復手順など、各脆弱性を技術的に詳細に分析して、修復プロセスを簡素化しています。私たちは、各レポートが明示的であり、操作が簡単であることを保証するために多大な努力を払っています。

レポートは評価プロセスの最終段階です。 ElvesCore アナリストは、取得したすべての情報を集約し、調査結果の徹底的かつ包括的な詳細をクライアントに提供します。このレポートは、全体的なリスクの大まかな内訳から始まり、アプリケーションの保護システムとロジックの長所と短所の両方を強調しています。また、ビジネス リーダーがアプリケーションに関して十分な情報に基づいた意思決定を行えるよう支援する戦略的な推奨事項も含まれています。レポートではさらに、テスト プロセスや IT チームの修復手順など、各脆弱性を技術的に詳細に分析して、修復プロセスを簡素化しています。私たちは、各レポートが明示的であり、操作が簡単であることを保証するために多大な努力を払っています。

さらに、クライアントの要求に応じて、クライアント組織が脆弱性にパッチを適用した後に Elves Core が評価をレビューする場合があります。変更が適切に実装され、リスクが排除されたことを確認します。以前の評価は、アプリケーションのより安全な状態を反映するために更新されます。

サービス内容

OWASP Top 10によるウェブアプリケーションのセキュリティ強化

Elvescoreでは、OWASP Top 10ガイドラインに従ってウェブアプリケーションのセキュリティを最優先に考えています。OWASP(Open Web Application Security Project)Top 10は、ウェブアプリケーションにおける最も重大なセキュリティリスクを特定し軽減するための世界的に認識された標準です。私たちの専門チームは、以下のような一般的な脆弱性に対してお客様のウェブアプリケーションが堅牢で安全であることを保証します

SQL、NoSQL、OS、LDAPインジェクションの欠陥からデータを保護します。

ユーザーのアイデンティティと資格情報を保護するための強力な認証機構を確立します。

暗号化と安全な保存方法を実装して機密情報を保護します。

 

悪意のあるXML入力からのリスクを軽減します。

 

システムやデータへの不正アクセスを防止するための適切なアクセス制御を実施します。

 

セキュリティ設定を見直し、修正して設定ミスを回避します。

 

ユーザーセッションのハイジャックやウェブサイトの改ざんを防ぎます。

 

オブジェクトのデシリアライズプロセスの脆弱性を悪用する攻撃を防止します。

 

サードパーティのコンポーネントを最新かつ安全に保ちます。

 

包括的なロギングと監視を実装し、インシデントを迅速に検出および対応します。

 

ペネトレーションテスト

概要

世界で活躍するホワイトハッカー、高いスキルをもったメンバーがさらに深く、細部まで確認します。 アプリケーション・サーバー・ネットワークの、脆弱な部分を特定し、個人情報の漏れや脆弱性がないか診断問題個所の原因調査、改修案のご提案ご報告いたします。

こんなクライアント様におすすめ

  • 原因まで深く調べたい
  • 改善策も詳しく知りたい
  • 脆弱性診断は実施したが不安が残る
料金

60万円〜    実施期間    14~日間

目的個人情報の漏れや脆弱性を診断し、問題があった場合には原因を調査します。
調査環境本番環境実施可能
検査方法ツール、手動検査
結果レポートを提出

※上記金額はベース金額にて、ページ数やサーバーの関係により価格が変動する場合がございますので、具体的なお見積りを確認されたい場合は直接お問い合わせください。

テスト内容

診断範囲

WEBアプリケーションモバイルAPP (IOS/Android)
システムソフトウェア
ネットワークテスト

診断ツールBurp Suite
Acunetix
Nmap
Netsparker
Zed Attack Proxy
Metasploit
Kali Linux
w3af
診断項目認証セキュリティ診断
破損したオブジェクトレベル認証診断
破損した認証診断
破損したオブジェクトプロパティレベル認証診断
制限されていないリソース消費診断
破損した関数レベルの認証診断
機密ビジネスフローへの無制限アクセス診断
サーバー側のリクエスト偽造診断
セキュリティの誤構成確認
適切でないインベントリ管理
安全でないAPIの利用診断
複雑でカスタマイズ可能な攻撃シナリオ診断
脆弱性を狙う巧妙な攻撃
高度な偵察
ゼロデイ脆弱性診断
高度な回避技術/バイパス技術
高度持続型攻撃のシミュレーション
シナリオベース診断
総合的なレポーティング
診断内容認証セキュリティテスト
オブジェクトレベルの認可の破損
認証の破損
オブジェクトプロパティレベルの認可の破損
リソース制限のない利用
関数レベルの認可の破損
機密ビジネスフローへの制限のないアクセス
サーバーサイドリクエストフォージェリ
セキュリティの誤構成
適切でないインベントリ管理
APIの安全でない利用
複雑なカスタマイズ可能な攻撃シナリオ
カスタマイズされたエクスプロイト
基本的な偵察
高度な偵察
OSINIT(オペレーティングシステムの初期化)の偵察
ゼロデイ脆弱性
高度な回避技術/バイパス技術
APT(高度持続型攻撃)のシミュレーション
CI/CDセキュリティチェック
データおよび秘密情報の漏洩チェック
シナリオベースのテスト
レッドチームの参加
総合的な報告書作成

ElvescoreのWebペネトレーションテスト選ぶ理由

専門知識と経験:

ウェブアプリケーションのセキュリティおよびペネトレーションテストの豊富な経験を持っています。

カスタマイズされたソリューション:

すべての組織がユニークであることを理解し、お客様の特定のニーズと課題に合わせたサービスを提供します。

包括的なアプローチ:

OWASP Top 10ガイドラインとPTES方法論を組み合わせて、セキュリティの総合的な評価を提供します。

卓越性へのコミットメント:

Elvescoreでは、最新の脅威から貴重な資産を保護し、強力なセキュリティ態勢を達成および維持するために尽力しています。

ご相談・お問い合わせはお気軽にどうぞ

ホワイトハッカーによる ペネトレーションテストで あなたのサービスを守ります