MBSD® MBSD®

巡回作業(事前の対象確認作業)

実際にどこを診断するべきか、また、依頼側として本当に対象に含める必要があるか迷うことがあると思います。診断の事前準備として、巡回作業というものをご紹介します。

この巡回作業は事前の対象確認作業で、実際のWebサイトにアクセスし、1つ1つ機能を確かめて対象をリスト化します。実際のWebサイトにアクセスしますが、診断行為や不正な操作を行うようなことはせず、一般のユーザと同じ操作を行い、その時の通信(HTTPリクエスト)を記録します。

penetration_03.png

記録した結果をリクエスト一覧表としてリスト化します。弊社の診断では、対象の認識漏れが発生しやすい画面数単位ではなく、リクエスト数単位で診断を進めていきます。

この巡回作業は、認識齟齬を防ぐ目的で見積作成時や診断実施前に必要に応じて行います。

No リクエスト名 URL
1 ログイン https://XXXXXX/login
2 ログイン処理 リダイレクト https://XXXXXX/login
3 トップページ https://XXXXXX/top
4 登録情報の変更 https://XXXXXX/mypage/edit
5 登録情報の変更 完了 https://XXXXXX/mypage/edit/complete
6 パスワードの変更 https://XXXXXX/password/edit
7 パスワードの変更完了 https://XXXXXX/password/edit/complete
8 ユーザ情報の一覧 https://XXXXXX/userlist
9 ユーザ情報の詳細 https://XXXXXX/userlist/detail
10 ログアウト https://XXXXXX/logout

プロフェッショナルサービス事業部

シェアする ツイートする