SaaS・従業員80名URLのIDを書き換えると、
他社の案件が開けてしまった
案件管理のSaaS。ログインは自分のアカウントのまま、リクエストに入っているIDを別の値に書き換えると、契約していない他社の案件一覧がそのまま返ってきた。画面のどこにも出ない経路で、権限のチェックが丸ごと抜けていた。開発チームも気づいていなかった。
10万円〜 の外部セキュリティ診断
ISMS(ISO/IEC 27001)
AIでアプリが作れる時代、脅威も多様化する世の中で、安全な顧客への提供をsupascanが保証します。
セキュリティ専門家による脆弱性の発見事例
SaaS・従業員80名案件管理のSaaS。ログインは自分のアカウントのまま、リクエストに入っているIDを別の値に書き換えると、契約していない他社の案件一覧がそのまま返ってきた。画面のどこにも出ない経路で、権限のチェックが丸ごと抜けていた。開発チームも気づいていなかった。
受託開発・納品前の検収使い回していた画像処理のライブラリが、古いままでした。そのバージョンには、細工した画像を送るとサーバー側で任意のコードが動く既知の欠陥があります。動いているから、で誰も上げていませんでした。
金融系・四半期の継続診断本番データのバックアップを置いたストレージが、いつの間にか公開設定に戻っていました。作った担当は異動していて、誰も把握していません。年1回の診断だけだと、この間はずっと開いたままです。
検出した指摘は重大度で仕分けし、いまの事業フェーズに合わせて、どれから直すべきかを提案します。リリース直前なら公開を止める級を先に、運用フェーズなら継続監視でよいものと分けます。再現手順と直し方までつけてお返しするので、全部を平らに並べられて、どこから手をつけるか迷う、ということがありません。
OWASP Top 10 や ASVS をもとにした標準的な観点で、ブラックボックス形式で脆弱性を洗い出します。大きく分けると、次のような観点でレビューします。
まず一度、いまの状態を確かめたい方へ。
広い範囲を、継続的に診たい開発チームへ。
指摘の直し方が分からないときは、開発チームと一緒に修正方針を考えます。診断の範囲をどう決めるか、どこまで継続で回すか。そのあたりの設計から相談に乗ります。監査や取引先への説明が要る場面も、まかせてください。
サポート内容を相談する| 社名 | supateam株式会社(スパチーム株式会社) |
|---|---|
| 事業 | AI時代のセキュリティ事業(利用統制・教育・診断)/開発生産性事業 supateam |
| 所在地 | 東京都渋谷区恵比寿西1丁目10番11号フジワラビルディング2階 |