Flatt Security

Flatt Securityは、サイバーセキュリティ関連サービスを提供している会社です。さまざまな種類のソフトウェア、ハードウェアの脆弱性を調査するための「脆弱性リサーチプロジェクト」に取り組んでいます。ここでは、同社が提供しているWEBアプリケーションの脆弱性診断の特徴についてまとめました。

引用元：Flatt Security公式サイト（ https://flatt.tech/ ）

Flatt Securityの特徴

脆弱性診断のプロフェッショナル

Flatt Securityは脆弱性診断(セキュリティ診断)のプロフェッショナル集団です。様々な種類のソフトウェアやハードウェアの脆弱性を診断する「脆弱性リサーチプロジェクト」に取り組んでおり、「Fastify における不適切な Content-Type の解析」「Typora における JavaScript コードの無効化処理が不十分な問題」「GitLab における Datadog アクセストークンの漏洩」など数々の実績をあげています。

同プロジェクトの実績とCVE(共通脆弱性識別子)のリストは公式HPで公開されているので、関心のある方はチェックしてみるとよいでしょう。

※参照元：Flatt Security公式HP

オーダーメイドの診断プランを提案

脆弱性診断をはじめて検討されるユーザーは、なにをどのように依頼したらいいか分からないということもあるでしょう。

Flatt Securityは、脆弱性診断で数々の実績と技術力をもつエンジニア集団であるほか、技術スタックや予算に応じてクライアントごとに最適なオーダーメイドの診断プランを提案してくれます。海外のハッキングコンテストで30,000USドルを獲得した実績もある、セキュリティのプロがしっかりサポートしてくれるため安心です。

Flatt Securityの技術力・品質

• 経済産業省「情報セキュリティサービス基準」(サービス登録番号/019-0045-20)

Flatt Securityの診断実績

建設用施工管理サービスをWebアプリケーション診断

建築用の施工管理サービスにおいて、新機能を対象とするセキュリティ診断が必要になったため、Flatt Securityのセキュリティ診断メニュー「Webアプリケーション診断」を利用して、セキュリティリスクの調査と検証を実施しました。

カスタマーサクセスプラットフォームのセキュリティ診断

効率的な営業活動を促進するカスタマーサクセスプラットフォーム「commmune」において、エンタープライズの顧客が増加し、より高度なセキュリティ環境を提供する必要が生じたため、第三者ベンダーによる診断として、Flatt Securityのサービスを活用してセキュリティ診断を行いました。

Flatt Securityの費用

• Webアプリケーション診断：30万円(税不明)から

Flatt Securityの診断項目

• Fastify における不適切な Content-Type の解析
• Typora における JavaScript コードの無効化処理が不十分な問題
• Atlassian Bitbucket における RCE (Remote Code Execution)
• GitLab における Datadog アクセストークンの漏洩
• GitLab におけるオープンリダイレクト
• PukiWiki における XSS(クロスサイトスクリプティング)
• PukiWiki におけるリモートコード実行
• MarkText における XSS (クロスサイトスクリプティング)
• ImageMagick におけるサービス運用妨害 (DoS)
• GROWI における入力値の検証不備に起因するサービス運用妨害 (DoS)

Flatt Securityの報告書イメージ

Flatt SecurityでのWEBアプリケーション診断の報告書イメージは公式サイトで確認できませんでした。

Flatt Securityのその他のサービス一覧

Flatt Securityの会社情報

まとめ

Flatt Securityは脆弱性診断で多くの実績をあげている会社です。Webアプリケーション診断はもちろん、サーバーやソースコード、スマートフォンアプリ、Firebase診断、IoT診断、SPA診断も手掛けるなどサービスが多彩です。しっかりした技術力をもっているうえに、クライアントに合ったオーダーメイドの診断プランを提案してくれるので、安心して相談・依頼をすることができます。