MIỄN PHÍ
Kiểm tra động
lỗ hổng Web App
– Cùng các doanh nghiệp startup kiến tạo giá trị mới-
Thông tin campaign
CO-WELL Asia cung cấp miễn phí dịch vụ Kiểm tra động lỗ hổng ứng dụng do công ty phát triển tới các khách hàng thuộc các ngành/loại hình kinh doanh bên dưới.
▼Đối tượng▼
①Công ty start-up
Điều kiện: Công ty được thành lập dưới 3 năm
Lĩnh vực:IT Product vendor
②Kinh doanh xã hội
Điều kiện:Doanh nghiệp đang giải quyết các vấn đề xã hội như môi trường, phúc lợi và cộng đồng
Lĩnh vực:Y tế, điều dưỡng, phòng chống tội phạm, bảo tồn môi trường
Hãy để các chuyên gia bảo mật của CO-WELL
kiểm tra lỗ hổng ứng dụng web của bạn
▽Tôi quan tâm về vấn đề bảo mật website▽
▽Tôi đang tìm kiếm một gói dịch vụ trọn vẹn▽
Bạn có đang gặp những khó khăn này?
Phương pháp
nhưng không biết cách kiểm tra chính xác
Phân tích
tôi không biết phải làm gì với kết quả thu được
Chi phí
nhưng chi phí kiểm tra lỗ hổng quá cao
Với dịch vụ của CO-WELL
Việc cài đặt và sử dụng phần mềm được thực hiện trên cloud nên có thể kiểm tra bảo mật mà không cần chi phí vận hành hay cài đặt trước
Với dịch vụ của CO-WELL
Các chuyên gia có kinh nghiệm sẽ phân tích kết quả kiểm tra và đề xuất biện pháp đối ứng phù hợp
Với dịch vụ của CO-WELL
Cung cấp các gói dịch vụ với mức giá hợp lý, giúp các doanh nghiệp dễ dàng tiếp cận
Kiếm tra động lỗ hổng ứng dụng
Dịch vụ Kiếm tra động lỗ hổng ứng dụng là đem đến giải pháp Kiểm tra lỗ hổng API web/ứng dụng web (*DAST) và báo cáo bằng công cụ quét bảo mật (OWASP ZAP).
Chúng tôi cung cấp ba gói dịch vụ riêng biệt, phù hợp với nhu cầu của bạn.
※DAST(Dynamic Application Security Testing)
Phương pháp DAST mô phỏng tấn công tự động tới ứng dụng của bạn và bắt chước hành vi của những kẻ tấn công độc hại. Mục đích của phương pháp này là phát hiện các kết quả không mong muốn, ngăn chặn chúng bị kẻ tấn công lợi dụng để truy cập ứng dụng. Các công cụ DAST không có thông tin nội bộ liên quan tới ứng dụng hoặc mã nguồn, vì thế chúng có thể mô phỏng giống nhất tình huống như các tin tặc bên ngoài. DAST được sử dụng để điều tra các lỗ hổng ứng dụng từ góc nhìn khách quan.
Các rủi ro bảo mật có thể được phát hiện
| Cross-site Scripting | Sử dụng thư viện JavaScript không an toàn |
| SQL Injection | Thiếu cấu hình an toàn cho Cookie |
| OS Command Injection | Cookie Poisoning |
| Redirect ra bên ngoài | Thiếu đối ứng Clickjacking |
| Path Traversal | OpenSSL Heartbleed Vulnerability |
Các gói dịch vụ
Có thể đăng ký đồng thời với Dịch vụ Phân tích Software composition
Thực hiện kiểm tra theo OWASP TOP10
Hỗ trợ xử lý check SPA
Cung cấp mẫu báo cáo kiểm tra
Thực hiện kiểm tra theo OWASP TOP10
Hỗ trợ xử lý check SPA
Cung cấp báo cáo chuyên sâu, bao gồm phân tích kết quả và đề xuất giải pháp.
Được thực hiện bởi chuyên gia hỗ trợ an ninh xử lý thông tin
Kiểm tra tùy chỉnh theo quy mô và đặc điểm hệ thống
*Số lượng trang (số lượng URL) tối đa được điều tra cho gói Simple/Entry là 100 trang. Vui lòng liên hệ với chúng tôi để thay đổi phù hợp.
*Báo cáo chuyên sâu sẽ được cung cấp trong vòng 10 ngày làm việc sau khi kiểm tra. Đối với gói Simple, kết quả sẽ được cung cấp trong vòng 5 ngày làm việc.
*Báo cáo chuyên sâu sẽ đề xuất giải pháp cho tối đa 20 lỗ hổng thuộc loại rủi ro cao và trung bình theo thứ tự nghiêm trọng nhất.
*Nếu bạn không thể cung cấp Swagger cho trang mục tiêu, chúng tôi sẽ tiến hành điều tra và kiểm định trong phạm vi có thể bổ theo công cụ tự động.
Thông tin mẫu báo cáo
So sánh các gói
Phạm vi sử dụng OWASP TOP 10
OWASP TOP 10 là gì?
Đây là bản Hướng dẫn xếp hạng và khắc phục 10 rủi ro bảo mật web app nghiêm trọng nhất, được xây dựng bởi OWASP, tổ chức phi lợi nhuận về nâng cao bảo mật phần mềm.
OWASP TOP 10 được cập nhật định kỳ 2-3 năm/lần kể từ năm 2003, nhằm theo kịp sự phát triển về bảo mật ứng dụng. Phiên bản mới nhất được phát hành vào năm 2021.
Bản hướng dẫn đã được rất nhiều tổ chức sử dụng để xây dựng quy chế bảo mật ngay trong quá trình phát triển web app, với mục tiêu giảm thiểu tối đa rủi ro được đề cập trong này.
Phân tích Software composition
Dịch vụ Phân tích Thành phần phần mềm (Software composition) là dịch vụ sử dụng các công cụ quét bảo mật để phát hiện và báo cáo các lỗ hổng trong open-source cũng như các thành phần bên trong khác.
CO-WELL sẽ tiến hành quét bảo mật trên source code do khách hàng cung cấp, điều tra xem có bất kỳ lỗ hổng open-source nào được sử dụng trong source code hay không và báo cáo kết quả cho khách hàng. Cùng với đó là nghiên cứu các lỗ hổng liên quan tới open-source được download từ phần mềm quản lý package ở các ngôn ngữ phát triển.
*SCA (Software Composition Analysis)
Đây là phương pháp bảo mật ứng dụng cho phép đội phát triển nhanh chóng theo dõi và phân tích các thành phần open-source được đưa vào dự án.
Các gói dịch vụ
Có thể đăng ký đồng thời với Dịch vụ Kiểm tra động lỗ hổng Web App
Lưu ý
■ Gói Standard phù hợp với các source code có dung lượng tối đa 100MB. Không bao gồm dung lượng của các package bên ngoài.
■ CO-WELL có thể sẽ yêu cầu cung cấp source code trong một số trường hợp. Trừ khi có quy định đặc biệt, vui lòng tải source code lên Git do CO-WELL quy định.
■ Chúng tôi sẽ tạo báo cáo cho từng bộ source code mà bạn cung cấp.
■ Các ngôn ngữ phát triển, công cụ quản lý package, các file/thông tin cần thiết có thể được dịch vụ này hỗ trợ như sau:
| Ngôn ngữ phát triển | Công cụ quản lý package | Các file/thông tin cần có |
| PHP | Composer | omposer.lock |
| Javascript | Npm | package-lock.json |
| Yarn | yarn.lock | |
| Ruby | Gem | gemfile.lock |
| Java | Maven | pom.xmlmvn dependency:list のコマンド結果 |
| Gradle | build.gradlegradle dependencies のコマンド結果 | |
| Python | Pip | requirements.txtpip list / pip3 listのコマンド結果 |
*Đây là tổng hợp các ngôn ngữ và trình quản lý package mà chúng tôi đã xác nhận hoạt động khi kiểm tra lỗ hổng.
*Vui lòng liên hệ CO-WELL để xác nhận các ngôn ngữ và trình quản lý package nằm ngoài danh sách này.
Liên hệ với CO-WELL Asia
NGAY HÔM NAY。
để biết thêm thông tin về CO-WELL