LOGIQUE は、インドネシアで、Web、モバイルapp、ソフトウェアの脆弱性を検査して報告するペネトレーションテストの実施を認定資格者により提供しています。

LOGIQUE はパートナーと協力して、ネットワーク、クラウド サーバー、人的リスクなど、他のいくつかの領域でより幅広いセキュリティソリューションを提供することもできますが、LOGIQUE IT セキュリティチームは、インドネシアのクライアントに、Webサイトやアプリケーションのセキュリティ脆弱性検査のためのペネトレーションテストを実施してセキュリティを強化すべきポイントを発見して報告することに強みをもっています。



Jasa Penetration Testing LOGIQUE


page-quality

高い専門性

CEH認定のITセキュリティチームが直接関与するため、セキュリティテストと脆弱性の報告のプロセスは高い専門性で実行されます。インドネシアでセキュリティ脆弱性検査を数多く実施してきた豊富な経験も活かします。


money

競争力のある価格

他社と比較して非常に競争力のある価格でペネトレーションテストサービスを提供しています。 サイバーセキュリティ事件によって起こりうる損失が大きいことを考えると、予防策としてリーズナブルな費用となると考えています。 より多くの会社に定期的に受けていただきたく設定した金額となっています。


calender

スピーディーな検査と報告

セキュリティインシデントはいつ起こってしまうか予想できるものではありません。迅速な検査、迅速な報告を心がけています。セキュリティ脆弱性評価レポートを、1 週間以内に送信できることもあります。



LOGIQUEのITセキュリティ脆弱性検査の標準価格



image

インフラ / ネットワーク侵入テストは、企業の重要なネットワーク / インフラストラクチャにおけるセキュリティの脆弱性を特定するために実施される評価です。 この侵入テストの範囲は、サーバー、ルーター、ワークステーション、およびクラウドサーバーなどになります。 テストプロセスは、リモートまたはオンサイトで行うこともできます。

report 明確なレポートを作成して報告します。

support再テストの実施までフルサポート。

certificateCEH認定スペシャリストが専門的な診断をします。

certificateテストはオンサイトまたは VPN 経由でリモートで実行されます。

certificateサーバー/ルーター/ワークステーション/クラウドサーバーのペンテスト



以下のような対象に対してセキュリティ脆弱性検査を実施することが可能です

test-icons-1

Server

test-icons-2

Router

test-icons-3

Workstation

test-icons-4

Cloud



検査項目

cloud

IPV4/IPV6スキャン

  • OSINTによるデータ収集のリスク、
  • IPV4/IPV6ネットワークスキャンの検査

cloud

データベースサーバーのハッキング

  • Mysql、Postgres、Oracle、および MongoDBの脆弱性を突くリスクの検査

cloud

コンテナブレイクアウトT

  • Docker の脆弱性をついた攻撃、
  • Kubernetesの脆弱性を悪用した攻撃に対するリスクの精査

cloud

広告の悪用

  • Active Directory 委任のレビューと Pwnage (Win 2012 サーバー)
  • ハッシュ/チケット ピボットと WinRM 証明書を渡す
  • ピボット、ポート フォワーディング、横移動のテクニック
  • 持続性とバックドア技術 (Golden Ticket、DCSync、LOLBAS)

cloud

Linux の悪用

  • Linux の脆弱性と構成の問題、ファイル共有/SSH ハッキング、X11 の脆弱性
  • 制限付きシェルブレイクアウト、強化された Web サーバーの破壊、ローカル権限昇格、MongoDB の悪用、TTYハック、ピボット
  • 設定ミスによるrootの取得、カーネルエクスプロイト、ポストエクスプロイトとクレデンシャルの収集

cloud

テクニック (Win 10)

  • ローカル権限昇格、A/V & AMSI バイパス技術、PowerShellアタック、
  • GPO ベースのエクスプロイト、制約付きおよび制約なしの委任攻撃

cloud

VPNの悪用

  • 安全でない VPN 構成の悪用

cloud

VOIP攻撃

  • VOIP列挙とVOIPエクスプロイト

cloud

VLAN 攻撃

  • VLAN の概念とVLANホッピング攻撃

cloud

クラウドハッキング

  • AWS/Azure/GCP 固有の攻撃
  • ストレージの構成ミス
  • 資格情報、API、および不正使用トークン
  • IaaS、PaaS、SaaS、CaaS、およびサーバーレスの活用
  • Azure AD 攻撃
image

通常、ITシステムやWebアプリケーションには重要なデータが含まれているため、データの漏洩は防御しなくてはなりません。LOGIQUEが提供するペネトレーションテストを実施すると、データの漏洩に繋がる可能性のあるリスクを発見することが可能です。脆弱性やリスクを発見し報告します。 ITセキュリティの専門家がテストの範囲を決定し、包括的な評価を実施します。 発見された脆弱性を修正できる適切で熟練した開発者がいない場合、LOGIQUE はそれらを処理できるシステム開発会社を紹介できます。

report分かりやすいレポートで報告します

support発見された脆弱性が対応されたことを確認する再テストまでサポートします

certificateCEH認定スペシャリストによるテスト証明を納品します

certificateAPIの脆弱性テストも可能です

certificateWebやWeb System、モバイルAppのテストを得意としています



以下のような対象に対してセキュリティ脆弱性検査を実施することが可能ですt

CRM

HRS

Sistem manajemen pelanggan (CRM)

Sistem manajemen lelang

Sistem manajemen poin



検査項目

cloud

Input / Output

クロスサイトスクリプティング、SQLインジェクション、コマンドインジェクション、フィッシングサイト誘導、パラメータ改ざんなど。


cloud

認証テスト

ログインエラーメッセージ、ログイン情報・プライベート情報の送受信など


cloud

ログインまたは役割に関する問題

権限昇格、情報への不正アクセスなど


cloud

セッション管理

セッション固定、クロスサイト リクエスト フォージェリ (CSRF) など


cloud

一般的な脆弱性

サンプルプログラム等のデフォルトコンテンツの有無

image

モバイル・スマホアプリを対象としたペネトレーションテストは、モバイルアプリ(Android / iOS)のセキュリティ脆弱性レベルを確認するためのアセスメントです。 LOGIQUE でのモバイル アプリ侵入テストには、Web API のテストも含まれる場合があります。

report分かりやすいレポートを作成します

support発見された脆弱性を修復した後の再テストまでサポート

certificateCEH認定スペシャリストによる精度の高いテスト

certificateWeb API テストも含むことが可能

certificateAndroid & iOSが対象となります。



以下のような対象に対してセキュリティ脆弱性検査を実施することが可能です

Aplikasi HR

Aplikasi e-learning

PWA

Aplikasi e-auction/lelang online

Aplikasi inspeksi

Aplikasi E-commerce



検査項目

不適切なプラットフォームの使用

プラットフォーム機能の悪用またはプラットフォーム セキュリティ コントロールの使用の失敗のテスト。


安全でないデータストレージ

チェックの領域には、SQL データベース、ログ ファイル、XML データ ストアとマニフェスト ファイル、バイナリ データ ストア、Cookie ストア、SD カード、クラウド同期が含まれます


安全でない通信

アプリケーション応答要求トラフィック中に適切なプロトコルを利用している必要があります。


安全でない認証

アプリケーションで安全でない認証が発生する可能性があるため、隠しサービス リクエストとインターフェイス依存のテストが実行されます。


不十分な暗号化

暗号化を利用するモバイルアプリの脆弱性に対する暗号化テストが不十分


安全でない承認

Pentester は、モバイル アプリでバイナリ攻撃を実行したり、昇格された権限を持つユーザーのみが実行できる特権機能を実行しようとしたりするなど、不適切な承認スキームをテストします。


クライアントコードの品質

Pentester は、コーディングReviewを通してコーディング品質をテストします。


改ざんコード

Pentester は、コードが実行される環境をハッカーが変更できるようにするコード障害の脆弱性をテストします。


リバースエンジニアリング

ハッカーは、最終的なコアバイナリ分析を実行して、元の文字列テーブル、ソースコード、ライブラリ、アルゴリズム、およびアプリケーション内に埋め込まれたリソースを特定できます。 Pentesterは、文字列テーブル分析、クロスファンクショナル分析、およびソース コード分析を実行します。


そのほか

ハッカーは、バックエンド のセキュリティホールを悪用して攻撃を実行してきます。 Pentesterは、さまざまなシナリオでハッキングを試行して脆弱性を発見します.



LOGIQUE ASSESSMENT FLOW

Assesment Flow



LOGIQUEのITセキュリティ検査実績
Time Industry Object of Assesment Found Problems (Risk Level)
High Middle Low
Sep - Oct 2019 Travel Web app 5 4 2
Sep - Oct 2019 Media Online Media 8 0 3
Sep - Oct 2019 Entrainment Network infrastructure 4 2 1
Sep - Oct 2019 E-commerce Market Place Web 8 4 4
Oct 2019 E-commerce PWA 4 3 0
Oct - Nov 2019 Forwarding Website company profile 5 5 3
Oct - Nov 2019 E-commerce Web app 6 0 2
Oct - Nov 2019 E-commerce Web app 2 2 1
Oct - Dec 2019 E-commerce Web app 53 1 0
Nov - Dec 2019 E-commerce Mobile app for Android 2 2 2
Nov - Dec 2019 E-commerce E-commerce 3 2 2
Nov - Dec 2019 E-commerce E-commerce 2 2 1
Nov 2019 Fintech Web app 1 2 3
Nov 2019 Fintech Mobile app for IOS and Android 2 4 2
Dec 2019 Finance Corporate Web 2 1 4
Dec 2019 Automotive Corporate Web 4 0 2
Dec 2019 Service Member web 3 4 3
Time Industry Object of Assesment Found Problems (Risk Level)
High Middle Low
Jan 2020 Fintech Web App 0 2 0
Jan 2020 Fintech Mobile App 1 8 1
Jan 2020 Fintech Network Infrastructure 0 3 0
Feb 2020 Automotive Network Infrastructure 0 0 1
Feb 2020 Service Web App 0 4 1
Feb 2020 Mobilephone Provider Web App 1 10 2
Mar 2020 Airline Web App 0 4 1
Mar 2020 Financial Planner Web App 4 1 2
Mar 2020 Travel Web App 5 4 2
Apr 2020 Service Network Infrastructure 0 1 2
Apr 2020 Service Web App 0 1 3
May 2020 Insurance Web App 4 4 1
May 2020 Insurance Network Infrastructure 0 2 3
Jun 2020 Pharmacies Web App 0 2 0
Jun 2020 Fintech Web App 5 0 0
Sep 2020 Fintech Web App 0 4 2
Oct 2020 Agriculture Network Infrastructure 0 5 1
Time Industry Object of Assesment Found Problems (Risk Level)
High Middle Low
Jan 2021 Automotive Website 1 2 0
Jan 2021 Financial Corporate Web 0 4 2
Feb 2021 Automotive Internal Web System 0 4 2
Feb 2021 Retail Business Mobile App 0 2 3
Feb 2021 E-Learning Web App 0 5 8
Jun 2021 Insurance Web App 0 4 4
Sep 2021 E-commerce Web App 3 2 8
Sep 2021 Public Institution Web System 1 0 5
Oct 2021 Research Company Website 2 1 3
Nov 2021 Food Porducer Web App 0 4 3
Nov 2021 Manufacture Corporate Web 0 3 4
Time Industry Object of Assesment Found Problems (Risk Level)
High Middle Low
Jan 2022 Marketing Agency Corporate Web 0 2 1
Jan 2022 Online media Web app 2 2 3
Jan 2022 Medical Startup Web App 0 2 7
Feb 2022 Manufacture Mobile App 3 1 4
Mar 2022 Automotive Service Web 0 2 2
Mar 2022 Marketing Agency Web App 3 3 5
Apr 2022 Service Mobile App 1 2 4
May 2022 Sier Corporate Web 2 0 2
Jun 2022 Insurance Mobile App 1 2 4
Jun 2022 Fintech Startup Mobile App 1 5 3
Jun 2022 Food Manufacture Web system 1 2 1
Jun 2022 Public Institution Web system 2 4 4
Jun 2022 HR Agency Web App 0 4 4

セキュリティソリューション実績

LOGIQUEがセキュリティ脆弱性検査を実施したお客様の一例を以下に示します。

Alo dokter
assa
migo
indokoala
ptgasi
softorb
yamaha
pacto
PUPR




Sample Report

セキュリティリスクを3分類して報告

ペネトレーションサービスの実施後、わかりやすい形式でレポートを作成し報告します。サイバーセキュリティの脆弱性評価は、High Risk (高)、Medium Risk (中)、Low Risk (低) の3 つのレベルに分類されます。セキュリティリスクのレベルは、想定される損出額やレピュテーションへの悪影響など複数の観点をスコアリングし、決定されます。.

3レベルのセキュリティリスク
高リスク 評判や財務上の損失を引き起こし、ビジネスの継続性に深刻な影響を与える高リスクの脆弱性の発見。

脆弱性の発見の例: SQL インジェクション、リモート コード実行、RFI/LFI、アクセス制御の破損、ハード コードされた機密データ、サブドメインの乗っ取り、バイパス可能な OTP 検証プロセスなどは、致命的な結果を引き起こします。
中リスク ビジネスに悪影響を与える可能性があるが致命的ではない中程度のリスクの脆弱性の発見。

脆弱性発見の例: 機密情報の漏えい、オープン リダイレクト、レート制限なし、不適切なエラー処理、ディレクトリ リストの有効化など。
低リスク 対象Web、システム、アプリに低いが悪影響を与える可能性のあるセキュリティの脆弱性。

脆弱性の発見の例: 安全でない Cookie 属性と HttpOnly、Web サーバー テクノロジの漏洩、情報漏えい – ASP.NET デバッグ メソッドの有効化、クロス オリジン リソース共有 (CORS) の構成ミス、脆弱なパスワード ポリシー (脆弱なパスワードの実装) など。




FAQ

  • LOGIQUEのセキュリティチームはどのような証明書を持っていますか?

    LOGIQUE セキュリティ チームは、EC-Coucil から CEH (Certified Ethical Hacker) および CSCU (Certified Secure Computer User) の認定を受けています。

  • セキュリティテスト実施時、LOGIQUE のセキュリティ チームはどのような基準を使用していますか?

    各テストプロジェクトでペンテストを実施する際に LOGIQUEセキュリティ チームが使用する標準は、OWASP (Open Web Application Security Project) です。

  • LOGIQUEのセキュリティ検査サービスの料金は?

    初期段階 (準備)、テスト段階 (評価)、レポート段階 (レポート) から再テストまでの全てをスコープにしたテスト実施をリーズナブルな価格で提供しています。詳細は、直接お問い合わせください。

  • テストを行う際、LOGIQUE セキュリティ チームは自動化されたツールのみを使用するのですか?

    初期スキャンに自動ツールも使用しますが、 侵入テストでは、LOGIQUE セキュリティ チームは手動で脆弱性を発見します。

  • LOGIQUE チームが検査して報告するまでにどのくらいの時間がかかりますか?

    スコープによって異なりますが、通常は1週間から1ヶ月程度かかります。

  • ペンテストを行う必要があるのはなぜですか?

    侵入テストを行うことで、サイバー犯罪やその他のさまざまな障害に直面したときのシステムの防御力がどれほど強力か(脆弱性の有無)がわかります。

  • ペンテストを行う前に必要なものは何ですか?

    システムをテストする前に、クライアントは対象となるWeb、システム、アプリの情報を共有するだけです。必要に応じて、その他の補足データを求められることがあります。

  • VAテストとペンテストの違いは何ですか?

    VA テストは、「よく知られている」脆弱性をスキャンするために自動ツールのみに依存します。多くの場合、これらのツールは一般的なものであるため、脆弱性を見逃すことが起こり得ます。

  • ホワイトボックスとブラックボックスの違いは何ですか?

    ホワイトボックス テストでは、ペンテスターはテスト対象のシステムに完全にアクセスできるため、コード、アーキテクチャ分析などのさまざまなことについて静的分析を実行できます。ブラックボックスでは、ペンテスターは、外部から攻撃し、最小限の初期情報を使用してシステムに侵入しようとするハッカーのように振る舞います。