SaaS・従業員80名
認可制御の不備
URLのIDを書き換えると、
URLのIDを書き換えると、
他社の案件が開けてしまった
案件管理のSaaSにおいて、同じアカウントでリクエストのパラメータIDを別の値に書き換えた際に、別の顧客の案件一覧が返却される問題が発覚。
10万円〜 の外部セキュリティ診断
ISMS(ISO/IEC 27001)
AIでアプリが作れる時代、脅威も多様化する世の中で、安全な顧客への提供をsupascanが保証します。
セキュリティ専門家による脆弱性の発見事例
SaaS・従業員80名案件管理のSaaSにおいて、同じアカウントでリクエストのパラメータIDを別の値に書き換えた際に、別の顧客の案件一覧が返却される問題が発覚。
SaaS・AIアシスタント機能社内向けのAIアシスタント機能において、ユーザーの入力からシステム側の指示を上書きし、権限のない他ユーザーの情報や管理操作を引き出せる問題が発覚。
受託開発・文書要約のAI機能外部から取り込んだ文書をAIが要約する機能において、文書に仕込まれた指示にAIが従い、社内データを外部へ送信できる間接的なプロンプトインジェクションを検出。
検出した指摘は重大度で仕分けし、いまの事業フェーズに合わせて、どれから直すべきかを提案します。リリース直前なら公開を止める級を先に、運用フェーズなら継続監視でよいものと分けます。再現手順と直し方までつけてお返しするので、全部を平らに並べられて、どこから手をつけるか迷う、ということがありません。
OWASP Top 10 や ASVS をもとにした標準的な観点で、ブラックボックス形式で脆弱性を洗い出します。大きく分けると、次のような観点でレビューします。
まず一度、いまの状態を確かめたい方へ。
広い範囲を、継続的に診たい開発チームへ。
指摘の直し方が分からないときは、開発チームと一緒に修正方針を考えます。診断の範囲をどう決めるか、どこまで継続で回すか。そのあたりの設計から相談に乗ります。監査や取引先への説明が要る場面も、まかせてください。
サポート内容を相談する| 社名 | supateam株式会社(スパチーム株式会社) |
|---|---|
| 事業 | AI時代のセキュリティ事業(利用統制・教育・診断)/開発生産性事業 supateam |
| 所在地 | 東京都渋谷区恵比寿西1丁目10番11号フジワラビルディング2階 |