您的位置:
> 公司业务
> 信息安全服务
Web网站应用系统诊断

发现Web网站应用系统潜在的安全问题,提供最适当的对策实施支援。

对于Web网站应用系统的实现方式、开发语言、使用的平台等进行考虑,相关的各种各样的项目进行诊断,检测对威胁客户的业务安全性的主要原因的对策是否适当?

主要由经验丰富的专家采用手动方式(通过手册)进行诊断作业,同时辅助利用一部分的诊断工具。基于这个方法,即使是用户独自开发的应用系统,也能够发现潜在的安全问题。

另外,对于发现的问题,能够对于具体的对策方法进行建议,并能够对于适当的对策实施进行支援。

【主要的诊断项目】

* 用户认证方式的检查检测

是否存在可避开用户认证进行登陆的危险性,抵抗针对用户名、密码的推测等攻击的强度是否足够等

* Session管理方式的检查检测

是否存在可以通过会话劫持伪装成为其他用户登录的危险性,cookie的设定是否恰当等

* 事务(transaction)处理的检查检测

是否存在越权使用的危险性,是否存在通过非法执行操作、数据输入等对系统进行恶意使用的危险性等* 跨站脚本攻击、SQL指令注入攻击对策的检查检测是否对用户输入的数据进行了充分有效的检查、在数据库中是否存在可以进行非法操作的危险性

* 加密方式的检测检测

重要信息是否被加密后发送,加密的强度是否充分等。

* 保障用户使用安全的设置的检查检测

是否能够有效防止网站钓鱼欺诈,网站设置是否可以让用户安心使用等

* 对于XML处理固有的安全问题的对策的检查

对于利用SOAP的Web服务等、使用XML的应用程序的诊断情况下,检测XML处理固有的安全问题的对策是否正确。

概况
特长

对应最新的攻击手法

为了对应新的攻击方法、发生频度高的事件事故等,定期进行诊断项目的实施。

经验丰富的担当者

在日本有长期安全诊断经验的成员为中心,有高超技术能力、有经验的担当者手动进行检测工作。
如果这样来做的话,能够对于工具无法检测出的问题、误检测的排除、被发现问题的危险性进行正确地评价。站在第三者的立场、可以在客观的观点上、从客户的角度来进行建议。

实施1个月内的对策状况确认(免费)

可以免费对于诊断出来的问题是否已经得到修正进行确认。(实施1个月之内)

其他

・诊断结果的迅速反馈(3个工作日以内)
・包含被发现的问题点的推荐对策的报告书
・与过去的诊断实绩进行比较后的评价(排名)

价格

个别报价

<费用例>
・5个画面(没有认证功能) 29,000元
远程实施、比如:问讯页面等简易WEB应用程序

・10个画面(有认证功能) 71,000元
远程实施、比如:包含Session管理的在线交易、面向会员的页面 


※ 如果需要中文版的报告书的话,需要另外追加费用(2000元起)。

NRI北京
服务
NRI全球网络
NRI北京
版权所有:野村综研(北京)系统集成有限公司
Copyright © 2024 All Rights Reserved