サービスの流れ
-
ビジネスコミュニケーション
-
プロジェクトの査定
-
費用の支払い
-
セキュリティ監査
-
セキュリティレポートの発行
エクスチェンジセキュリティ監査プログラム
| シリアルナンバー | 監査クラス | 監査サブクラス |
|---|---|---|
| 1 | オープンソースの知的情報を収集 | Whoisの情報コレクション |
| 実際のIP発見 | ||
| サブドメイン検出 | ||
| メールサービスの検出 | ||
| 証明書情報収集 | ||
| Webサービスコンポーネント指紋コレクション | ||
| ポートサービスコンポーネント指紋コレクション | ||
| セグメントCサービス取得 | ||
| 人事構成コレクション | ||
| Githubのソースコードのリーク場所 | ||
| Google Hackの検出 | ||
| プライバシーのリークの発見 | ||
| 2 | アプリセキュリティ監査 | アプリ環境テストの監査 |
| コードのデコンパイル検出 | ||
| ファイルストレージセキュリティ検出 | ||
| 通信暗号化検出 | ||
| 権限検出 | ||
| インターフェースセキュリティテスト | ||
| ビジネスセキュリティテスト | ||
| WebKitセキュリティテスト | ||
| アプリキャッシュセキュリティ検出 | ||
| アプリ WebView DOMセキュリティテスト | ||
| SQLite ストレージセキュリティテスト | ||
| 3 | サーバーセキュリティ構成監査 | CDNサービスの検出 |
| ネットワークインフラストラクチャ構成テスト | ||
| アプリケーションプラットフォーム構成管理テスト | ||
| ファイル拡張解像度テスト | ||
| バックアップ、リンクされていないファイルのテスト | ||
| 管理インターフェーステストの列挙 | ||
| HTTPメソッドTEST | ||
| HTTP厳格な送信テスト | ||
| Webフロントエンド クロスドメインポリシーテスト | ||
| Webセキュリティレスポンスヘッドテスト | ||
| 脆弱なパスワードとデフォルトのパスワードの検出 | ||
| 管理の裏側の発見 | ||
| 4 | ノードセキュリティ監査 | ノード構成セキュリティ検出 |
| ノードデータ同期セキュリティ検出 | ||
| ノードトランザクションセキュリティ監査 | ||
| ノード通信セキュリティ検出 | ||
| ノードオープンソースコードセキュリティ監査 | ||
| 5 | アイデンティティ管理監査 | 役割定義テスト |
| ユーザー登録プロセステスト | ||
| アカウントの権利変更テスト | ||
| アカウント一覧テスト | ||
| 脆弱なユーザー名戦略テスト | ||
| 6 | 認証と許可監査 | パスワード情報暗号化送信テスト |
| デフォルトのパスワードテスト | ||
| アカウント排除のメカニズムテスト | ||
| 認証バイパステスト | ||
| パスワードメモリ機能テスト | ||
| ブラウザキャッシュテスト | ||
| パスワード戦略テスト | ||
| セキュリティクイズテスト | ||
| パスワードリセットテスト | ||
| OAuth認証モデルテスト | ||
| 権限エスカレートのテスト | ||
| 認証バイパステスト | ||
| 2要素認証バイパステスト | ||
| ハッシュの堅牢性テスト | ||
| 7 | セッション管理監査 | セッション管理バイパステスト |
| クッキープロパティテスト | ||
| セッション固定テスト | ||
| セッショントークンリークテスト | ||
| クロスサイトリクエスト偽造(CSRF)テスト | ||
| ログアウト機能テスト | ||
| セッションタイムアウトテスト | ||
| セッショントークンの過負荷テスト | ||
| 8 | 入力セキュリティ監査 | クロスサイトスクリプティング(XSS)テスト |
| Tテンプレートインジェクションテスト | ||
| サードパーティのコンポーネントの脆弱性テスト | ||
| HTTPパラメータ汚染テスト | ||
| SQLインジェクションテスト | ||
| XXEエンティティインジェクション試験 | ||
| デシリアル化の脆弱性テスト | ||
| SSRFの脆弱性テスト | ||
| コードインジェクションテスト | ||
| ローカルファイルコンテインズテスト | ||
| リモートファイルコンテインズテスト | ||
| コマンド実行インジェクションテスト | ||
| バッファオーバーフローテスト | ||
| フォーマットされた文字列テスト | ||
| 9 | ビジネスロジック監査 | インターフェースセキュリティテスト |
| 偽造テストを試す | ||
| 整合性テスト | ||
| オーバータイム検知 | ||
| インターフェース周波数制限テスト | ||
| ワークフローバイパステスト | ||
| アプリケーション誤用保護テスト | ||
| 予期しないファイルタイプのアップロードテスト | ||
| 悪意あるファイルのアップロードテスト | ||
| 10 | 暗号化セキュリティ監査 | 脆弱なSSL / TLS暗号化、安全でないトランスポートレイヤー保護テスト |
| SSL pinning セキュリティテスト | ||
| 機密情報に関する暗号化されていないチャンネル送信 | ||
| 11 | ホットウォレットアーキテクチャのセキュリティ監査 | - |
| 12 | 秘密鍵管理システムのセキュリティ監査 | - |
