⚠ CRITICAL: Database unprotected → Full deletion possible → No authentication required
⚠ HIGH: Admin panel exposed → All user data accessible → Payment info leaked
⚠ HIGH: Payment system open → Unauthorized charges possible → No rate limiting
⚠ MEDIUM: AI system exposed → Core IP leaked → Model configs public
フロントエンド、API、データベース、認証、決済 — チェックリストではなく、実際の攻撃者の視点でテストします。
実際の診断で発見したもの
テスト環境ではありません。実際のユーザーがいる本番アプリです。
削除・更新に認証なし。訪問者なら誰でも本番DB全体を消去可能な状態。
管理者パネルが全ログインユーザーに公開。氏名、メール、電話、決済履歴の全て。
プロンプト、モデル設定、内部ツール — 企業の中核IPが全訪問者に配信。
Stripe連携に認証なし。誰でも決済セッション作成や他アカウントへの課金が可能。
APIスキーマ全体露出。認証なしでユーザーDB照会可能。個人情報自由アクセス。
レースコンディションとプロモコード欠陥で無制限生成可能。数ヶ月分の売上損失。
診断範囲
JavaScriptをデコンパイルし、露出したAPIキー、シークレット、内部エンドポイントを全て発見。
全エンドポイントをテスト — 認証バイパス、IDOR、権限昇格、レート制限、データ漏洩。
直接アクセステスト。RLSポリシー。誰でもDELETEできるか確認。
JWT解析、セッションハイジャック、OAuthミスコンフィグ、トークン漏洩、認証情報の露出。
Stripe決済を誰でも実行できるか?決済フロー全体をテスト。
プロンプト抽出、インジェクション攻撃、モデル設定の露出、RAGパイプライン解析。
プロセス
URLを送るだけ。24時間以内に無料初期スキャン。打ち合わせ不要。
AIツール+手動テスト。監査人ではなく攻撃者のように考えます。
全ての発見事項に重大度、証拠、コード証明、正確な修正方法を記載。
重大な問題の修正を支援。修正を検証。オプションで継続監視。
ケーススタディ
企業名は匿名。発見内容は実際のものです。
合計17社の診断実績
お問い合わせ
URLを送ってください。24時間以内に何が露出しているかお見せします。完全無料。