ソースコード診断が今なら手軽な価格で実施可能！

ソースコード診断とは

Webアプリケーションの動作ではなく、ソースコードそのものを調査し、構造的な欠陥の有無を診断するため、
外部からの診断では発見することができないセキュリティの脆弱性を洗いだすことができます。
さらに、実際の動作環境に対して検査を行う一般的な動的診断と異なり、ソースコードさえあれば診断が可能なため、
診断用の検証環境の構築や通信経路の確保といった追加作業が不要となり、簡単に診断を行うことができます。

ソースコードならではの強み

通常の外部からの診断だけでは発見が難しい脆弱性も、ソースコードを直接診断することで洗い出すことが可能です。
例えば、適切な乱数生成を行っているか、正しく例外処理が実装されているかといった、内部ロジックに起因する問題やリスクを発見することができます。

多数の言語に対応

20種類のプログラミング言語やフレームワークに対応しており、お客様のご利用されているシステム環境に合わせて柔軟に診断を実施することが可能です。

対応言語例
Java,C/C++/ PHP,Ruby,Python など

診断環境の準備等が不要

通常のWeb アプリケーション診断では、診断対象となる検証環境の構築や、ネットワークの疎通確認等診断のための準備作業が必要となります。
一方、ソースコード診断では、対象となるソースコードがあれば、すぐに診断を行うことが可能なため、診断に伴う作業コストを抑えることができます。

特別価格のソースコード診断サービスについて問い合わせる

ソースコード診断で
検出する主な脆弱性

SQLインジェクション
（SQL Injection）
クロスサイトスクリプティング
（XSS）
コードインジェクション
（Code Injection）
パラメータ改ざん
（Parameter tampering）
クロスサイトリクエストフォージェリ（CSRF）
セッションフィクセーション
（Session fixation）

捕捉できない例外
（Unhandled exceptions）
ハードコートされたパスワードの使用
（Hardcoded password）
HTTPレスポンス分割
（HTTP splitting）
ログフォージェリー
（Log forgery）
DoS攻撃
（DoS）

など

ソースコード診断の
4つのサービスレベル

service_four

service_four_sp

※精査：ツールを使用したスキャンでは、危険度が高いものから低いものまで様々な検出をします。これらの検出事項は多くの場合、過検知、誤検知（事象に対して過敏な反応や取違え）が含まれています。これらをセキュリティ専門家によるレビューを行うことで、可能な限り正確な検出事項のみを明らかにすることを「精査」と言います。