PROVEQ是以第三方观点提供检证服务的品牌
帮助您在产品和系统的生命周期过程中,
追求安心• 安全的魅力品质,提高开发生产性
安全检证业务
所谓安全检证业务
检查Web网址上运行的应用程序中的潜在安全问题(隐患),对发现的问题,提示相应的修改方法,提高安全强度。

PROVEQセキュリティ検証サービスイメージ

从过去的信息泄漏事故来看,对以Web系统为基础的商业企业来说,由于Web应用程序的隐患而造成了不可估量的商业冲击。

本公司为了防止未然的事故发生,对不同的Web应用程序,以不同的设计、实装方开发平台的特点为前提,进行项目检查。

根据对象网站的商务规模和保有的机密信息的性质,由经验丰富的专家进行手动操作,并用本公司自行研发的检查工具进行检查。 由专家对发现的问题所应采取的修改方案和推荐事项进行报告。

本公司的检证业务流程
测试检查前,客户和本公司的技术顾问,对测试对象的选择和测试实施相关的详细事项进行商榷,在完备的体制下进行测试。

PROVEQセキュリティ検証サービスの流れ

■确认业务内容
・业务说明
・特定检查对象
・预算
・签订NDA
・签订合约

■检查前的商讨会
・联络体系的确立
・禁止事项的再次确认

■安全检查
・检查实施
・每天的进度联络

■及时上报重要度高的隐患
・当天就发现点、发现方法、处置方法进行联络

■作成检查结果报告书
・作成全检查结果的评价

■报告检查结果
・由检查担当报告检查结果
主要的检查项目
以下是PROVEQ的安全测试业务的主要测试项目。
SQL注入 检查是否因一次性大量信息而引发数据库的错误
OS口令注入 检查操作系统是否能执行非法命令(停止或第三方的攻击命令)。
跨站脚本攻击(XSS) 检查是否能从外部插入非法代码
会话拦截 检查会话管理是否安装正确,Cookies的使用方法正否正确,是否能进行伪造
跨站请求伪造(CSRF) 根据攻击者的陷阱,是否能发生非用户意识的动作
加密方法的实装(HTTPS的利用方法) 对重要度高的信息是否进行加密。确认网站的合法性
安全面的可用性 检查用户方是否存在安全面的危险网站及钓鱼网站
参数(文字列)操作 通过各种文字列的操作,检查是否恶意地非法利用系统。
网站全体检查 检查是否在使用旧版本,文件是否全部消除以及设备是否完备。
本公司的安全检证业务特点
请务必运用PROVEQ特有的专业技术及测试方法

■以丰富的测试经验为保障的技术力
・隶属本公司的检查负责人,拥有以金融机构,电子商业网站为中心的100家网站的检查经验
・对都市银行,重要企业,大型媒体,大型购物门户实行全年检查,提高Web系统的安全水平给予支持

■极细致的手动检测(白金业务)
・利用手动作业,排查有复合危险的隐患(轻微的隐患会引发重大的隐患)
・对Web网站的设计相关的会话管理进行彻底分析

■利用检查工具进行检查(黄金业务)
・利用检查工具,能提高检查的效率的正确性
・故障报告,重视再现方法和再现率,以开发人员更容易确认的方式进行报告
・通过工具实现将手动检查方法,保证了与手动检查效果近乎相同的品质