業務内容
▼ご提供内容
サイト規模にあわせたWebサイトでの脆弱性診断を行います。
※サーバー環境の脆弱性診断(プラットフォーム診断)やスマホアプリ診断、ゲーム診断、Iot診断などは対象外となりますので、予めご了承ください。
▼こんな方にお勧め
・個人サイトを作ったが、安全なサイトか気になる
・会社HPを外注したが、顧客情報などを安全に取り扱えているか調査したい
・Webページの安全性検査をしたいが、専門知識がなくやり方がわからない
▼サービスご提供のながれ
(お申込み)
↓
サイト状況のヒアリング・診断範囲の策定(ヒアリング時点で料金と納期をご相談します。)
↓
サイト診断
↓
簡易レポート報告(メールにて納品)
↓
質問対応(2回の質問対応)
▼料金プランやオプションについて
サイト規模を観察してから料金を相談いたします。
▼簡易レポートについて
診断した結果、検出した脆弱性についてレポートを提供いたします。
記載内容
・診断対象
・検出した脆弱性
・診断サイトの脆弱な部分の画面解説
・検出箇所
・修正案
▼診断にあたっての注意事項
WAFの導入をされている場合、診断がただしく行えないことがございます。対象IPからの通信を診断期間中に許可していただく設定が必要になることがございます。
DosやDDosなど、アプリケーションとは別にサーバー構築段階で可能性のある攻撃や脆弱性については診断対象外となります。
脆弱性診断がすべての攻撃を防げるわけではございません。網羅的で確実な診断を心がけておりますが、脆弱性診断を終えて修正するとサイバー攻撃に完璧に対応できた状態になるわけではございません。
診断にあたっては攻撃者が実際に送信するものと同じ通信が発生します。ヒアリング時点で診断にあたってサイトに実際の被害がでないように開発環境のご用意をいただく場合がございます。
▼診断項目一覧
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- セッションハイジャック
- ファイルアップロードの脆弱性
- 不正なリダイレクト
- パスワードの緩いセキュリティ
- ディレクトリトラバーサル
- メッセージによる情報漏えい
- OSコマンドインジェクション
- XML外部エンティティ(XXE)攻撃
- HTTPヘッダーインジェクション
- クリックジャッキング
- 不正アクセス制御の脆弱性
- CORS(Cross-Origin Resource Sharing)の脆弱性
- サーバサイドリクエストフォージェリ(SSRF)
- HTTPメソッドの不適切な使用
- 不正な入力データによるサービス妨害(DoS/DDoS攻撃)
- サービスの意図しない開示
- セキュリティプロトコルの不備(TLS、SSL)
- 不適切な認証/認可の実装
- ヘッダ設定の不備
基本料金
出品者
30日前以上
短期間・高コスパであなたのサイトを診断いたします。
-
0 満足0 残念
- 個人
- 東京都
【サイト診断】
プロフィールをご覧いただきありがとうございます。わたくしはWebサイトの脆弱性診断を2年以上経験し、その中で世の中のWebサイトが、脆弱な状態で公開されているものが多いことを問題視してきました。脆弱なサイトは、攻撃者にとって狙い目となり、サイトの所有者にとっても金銭的な損害句を生む可能性のある大きなリスクとなります。
私はサイトの脆弱性診断を通して、自分の知識を生かしてインターネット上でのサイバー被害を防止する活動と即効性のあるセキュリティサービスを提供をすることを目標にしております。
社会いまや不可欠な情報インフラの安全をWebサイト 診断を通して守っていきたいと思っております。
▼可能な業務
Webサイト脆弱性診断
WebAPIの脆弱性診断
▼保有資格
Linux技術者認定試験 LPIC 101,102
CCNA(Cisco Certified Network Associate)
Oracle Certified Java Programmer, Silver SE11
Python 3 エンジニア認定基礎試験
▼開発経験
Djangoフレームワークでのサイト開発
pythonを使ったCGIサーバーでのページ開発
▼診断実績例
・LPサイトの診断
・画像認証システムの診断
・スマホ版サイトの診断
・API診断
など
▼活動時間/連絡について
お客様のサイト規模や運用状況に対してできる限り柔軟にご対応せていただきます。
連絡は基本的にいつでも可能です。できる限り素早い変身を心がけておりますが、急ぎの仕事に対応中の場合、お時間をいただくこともございます。
ご了承いただければ幸いです。
よくある質問
- 診断実施前に準備することはあるか
- 基本的にログインが発生するサイトの場合、事前に診断用のアカウントをご用意いただきます。
- サイトの部分的な診断はできるか
- できます。例として、ログイン画面とお問い合わせフォームのみを診断したり、サイトのデータベース関連の機能のみ診断することができます。部分的な診断の場合、診断期間を短くすることもできます。
- 決済機能があるサイトなのだが、診断できるか
- 決済機能は診断をいたしておりません。
- 診断後の開発修正はどこまでサポートしてくれるのか
- 診断後の簡易レポートで修正案を提示いたしますが、開発環境や実装を詳細にはわからないため、コード修正例や設定ファイル変更例などといった具体的な修正方法はご提供できません。代わりに、一般的な対策や脆弱性防止の考え方などを提供いたします。
注文時のお願い
・診断をご希望するURLパス
・禁止事項
・アカウント作成の有無
・決済機能の有無
などといった項目をヒアリングいたします。
以下のフォームより申し込み前に情報のご提供をお願い致します。
https://docs.google.com/forms/d/e/1FAIpQLSfpGDJLaga4ymP8itg9ahD-PwOQMBaXRo2QfsjY6BmBt1Fs0A/viewform?usp=sf_link
