MIỄN PHÍ
Kiểm tra động

lỗ hổng Web App

– Cùng các doanh nghiệp startup kiến tạo giá trị mới-

Thông tin campaign
CO-WELL Asia cung cấp miễn phí dịch vụ Kiểm tra động lỗ hổng ứng dụng do công ty phát triển tới các khách hàng thuộc các ngành/loại hình kinh doanh bên dưới.

キャンペーンバナーイメージ

▼Đối tượng▼

キャンペーン対象1

 ①Công ty start-up

Điều kiện: Công ty được thành lập dưới 3 năm
Lĩnh vực:IT Product vendor

キャンペーン対象2

②Kinh doanh xã hội

Điều kiện:Doanh nghiệp đang giải quyết các vấn đề xã hội như môi trường, phúc lợi và cộng đồng
Lĩnh vực:Y tế, điều dưỡng, phòng chống tội phạm, bảo tồn môi trường

Hãy để các chuyên gia bảo mật của CO-WELL
kiểm tra lỗ hổng ứng dụng web của bạn

▽Tôi quan tâm về vấn đề bảo mật website▽

▽Tôi đang tìm kiếm một gói dịch vụ trọn vẹn▽

Bạn có đang gặp những khó khăn này?

Với dịch vụ của CO-WELL

Việc cài đặt và sử dụng phần mềm được thực hiện trên cloud nên có thể kiểm tra bảo mật mà không cần chi phí vận hành hay cài đặt trước

Với dịch vụ của CO-WELL

Các chuyên gia có kinh nghiệm sẽ phân tích kết quả kiểm tra và đề xuất biện pháp đối ứng phù hợp

Với dịch vụ của CO-WELL

Cung cấp các gói dịch vụ với mức giá hợp lý, giúp các doanh nghiệp dễ dàng tiếp cận


Kiếm tra động lỗ hổng ứng dụng

Dịch vụ Kiếm tra động lỗ hổng ứng dụng là đem đến giải pháp Kiểm tra lỗ hổng API web/ứng dụng web (*DAST) và báo cáo bằng công cụ quét bảo mật (OWASP ZAP).
Chúng tôi cung cấp ba gói dịch vụ riêng biệt, phù hợp với nhu cầu của bạn.

※DAST(Dynamic Application Security Testing)
Phương pháp DAST mô phỏng tấn công tự động tới ứng dụng của bạn và bắt chước hành vi của những kẻ tấn công độc hại. Mục đích của phương pháp này là phát hiện các kết quả không mong muốn, ngăn chặn chúng bị kẻ tấn công lợi dụng để truy cập ứng dụng. Các công cụ DAST không có thông tin nội bộ liên quan tới ứng dụng hoặc mã nguồn, vì thế chúng có thể mô phỏng giống nhất tình huống như các tin tặc bên ngoài. DAST được sử dụng để điều tra các lỗ hổng ứng dụng từ góc nhìn khách quan.

Các rủi ro bảo mật có thể được phát hiện

Cross-site ScriptingSử dụng thư viện JavaScript không an toàn
SQL InjectionThiếu cấu hình an toàn cho Cookie
OS Command InjectionCookie Poisoning
Redirect ra bên ngoàiThiếu đối ứng Clickjacking
Path TraversalOpenSSL Heartbleed Vulnerability

Các gói dịch vụ
Có thể đăng ký đồng thời với Dịch vụ Phân tích Software composition

シンプルプラン

チェックThực hiện kiểm tra theo OWASP TOP10

チェックHỗ trợ xử lý check SPA

チェックCung cấp mẫu báo cáo kiểm tra

エントリープラン

チェックThực hiện kiểm tra theo OWASP TOP10

チェックHỗ trợ xử lý check SPA

チェックCung cấp báo cáo chuyên sâu, bao gồm phân tích kết quả và đề xuất giải pháp.

カスタムプラン

チェックĐược thực hiện bởi chuyên gia hỗ trợ an ninh xử lý thông tin

チェックKiểm tra tùy chỉnh theo quy mô và đặc điểm hệ thống

*Số lượng trang (số lượng URL) tối đa được điều tra cho gói Simple/Entry là 100 trang. Vui lòng liên hệ với chúng tôi để thay đổi phù hợp.
*Báo cáo chuyên sâu sẽ được cung cấp trong vòng 10 ngày làm việc sau khi kiểm tra. Đối với gói Simple, kết quả sẽ được cung cấp trong vòng 5 ngày làm việc.
*Báo cáo chuyên sâu sẽ đề xuất giải pháp cho tối đa 20 lỗ hổng thuộc loại rủi ro cao và trung bình theo thứ tự nghiêm trọng nhất.
*Nếu bạn không thể cung cấp Swagger cho trang mục tiêu, chúng tôi sẽ tiến hành điều tra và kiểm định trong phạm vi có thể bổ theo công cụ tự động.

Thông tin mẫu báo cáo

レポートイメージ

So sánh các gói

プラン比較

Phạm vi sử dụng OWASP TOP 10

OWASP TOP 10 là gì?

Đây là bản Hướng dẫn xếp hạng và khắc phục 10 rủi ro bảo mật web app nghiêm trọng nhất, được xây dựng bởi OWASP, tổ chức phi lợi nhuận về nâng cao bảo mật phần mềm.

OWASP TOP 10 được cập nhật định kỳ 2-3 năm/lần kể từ năm 2003, nhằm theo kịp sự phát triển về bảo mật ứng dụng. Phiên bản mới nhất được phát hành vào năm 2021.
Bản hướng dẫn đã được rất nhiều tổ chức sử dụng để xây dựng quy chế bảo mật ngay trong quá trình phát triển web app, với mục tiêu giảm thiểu tối đa rủi ro được đề cập trong này.

イメージ


Phân tích Software composition

Dịch vụ Phân tích Thành phần phần mềm (Software composition) là dịch vụ sử dụng các công cụ quét bảo mật để phát hiện và báo cáo các lỗ hổng trong open-source cũng như các thành phần bên trong khác.

CO-WELL sẽ tiến hành quét bảo mật trên source code do khách hàng cung cấp, điều tra xem có bất kỳ lỗ hổng open-source nào được sử dụng trong source code hay không và báo cáo kết quả cho khách hàng. Cùng với đó là nghiên cứu các lỗ hổng liên quan tới open-source được download từ phần mềm quản lý package ở các ngôn ngữ phát triển.

*SCA (Software Composition Analysis)
Đây là phương pháp bảo mật ứng dụng cho phép đội phát triển nhanh chóng theo dõi và phân tích các thành phần open-source được đưa vào dự án.

Các gói dịch vụ
Có thể đăng ký đồng thời với Dịch vụ Kiểm tra động lỗ hổng Web App

脆弱性新料金プラン

Lưu ý

■ Gói Standard phù hợp với các source code có dung lượng tối đa 100MB. Không bao gồm dung lượng của các package bên ngoài.
■ CO-WELL có thể sẽ yêu cầu cung cấp source code trong một số trường hợp. Trừ khi có quy định đặc biệt, vui lòng tải source code lên Git do CO-WELL quy định.
■ Chúng tôi sẽ tạo báo cáo cho từng bộ source code mà bạn cung cấp.
■ Các ngôn ngữ phát triển, công cụ quản lý package, các file/thông tin cần thiết có thể được dịch vụ này hỗ trợ như sau:

 Ngôn ngữ phát triển Công cụ quản lý package Các file/thông tin cần có
 PHP Composer omposer.lock

 

Javascript
 

 Npm package-lock.json
 Yarn yarn.lock
  Ruby Gem gemfile.lock

 

 Java
 

 Maven  pom.xml

mvn dependency:list のコマンド結果

Gradle  build.gradle

gradle dependencies のコマンド結果

 PythonPip  requirements.txt

pip list / pip3 listのコマンド結果

*Đây là tổng hợp các ngôn ngữ và trình quản lý package mà chúng tôi đã xác nhận hoạt động khi kiểm tra lỗ hổng.
*Vui lòng liên hệ CO-WELL để xác nhận các ngôn ngữ và trình quản lý package nằm ngoài danh sách này.

Liên hệ với CO-WELL Asia
NGAY HÔM NAY

Hãy liên hệ với chúng tôi tại đây

Vui lòng tham khảo tài liệu này
để biết thêm thông tin về CO-WELL

 
Join us