• メールアドレス:
  • パスワード:
ZDNet Japanからのお知らせ
セキュリティ
+
 TOP
+
 
  • チャネルを指定:
  • 日付を指定:
  •  〜 

サイト脆弱性をチェックしよう!--第9回:AppScanによるアプリ脆弱性の自動検査

池田雅一(テクマトリックス)
2008/03/11 23:51

トラックバック(0)

ブックマーク(-)

印刷用ページ

 前回まで、主な脆弱性の検査方法について説明してきた。前回の最後にも説明したとおり、アプリケーションの脆弱性検査を手動で行うには、非常に大きな手間とある程度の技術や知識が必要となる。

 また、手動による検査では検査する人の技術レベルに依存しがちだ。このため、検査の水準を一定に、低コストで実施できる自動検査ツールの利用も進んでいる。

 そこで今回は、「IBM Rational AppScan」を例として、自動検査ツールについて説明しよう。

自動検査ツールの原理

 検査を行う時に必要な情報は、ウェブアプリケーションを利用するときに、ブラウザからサーバへ送信されるHTTPリクエストだ。HTTPリクエストには、以下のものが含まれている。

  • 接続先のURL
  • HTTPリクエストヘッダ
    - Cookie
  • パラメータ

 多くの検査ツールは、これらの情報を取得するために、ブラウザとサーバとの間のProxyとして動作する。ブラウザからサーバへ送信されるHTTPリクエストを受け取り、送信されるCookieやクエリパラメータ、POSTボディパラメータなどを解析することで、ウェブアプリケーションで使用されているパラメータ(パラメータ名と値)やURLなどの情報を取得できる。

探査時の動作 探査時の動作

 こうして得られたパラメータやURLなどの情報をもとに、各パラメータの値をひとつずつ検査パターンに書き換えてからリクエストを送信し、テストを行う。

テスト時の動作 テスト時の動作

トラックバック(0)

ブックマーク(-)

印刷用ページ

次へ »
キーショートカット:  b - 前のページ n - 次のページ
関連記事
この記事を読み解くキーワード:
ネットワークセキュリティ
脆弱性
アプリケーション
ZDNet用語検索
Page: 1 / 6
企業情報
キーワード
関連ホワイトペーパー
関連製品
関連リリース
関連イベント
 

セキュリティ トピックス

Firefox 2の12件の重大な脆弱性を修正するパッチが公表される

Firefox 2に対するセキュリティアップデートが公表されている。このアップデートには、重大度が「最高」のもの5件を含む、12件の脆弱性に対する修正が含まれている。 2008/07/03 08:11 【Zero Day

MS、Officeのサブスクリプションサービス「Microsoft Equipt」を発表

マイクロソフトは、OfficeとOneCareをセットした、年額69ドルで利用できる新サブスクリプションサービス「Microsoft Equipt」の発売をアナウンスした。オンラインでの販売やアップグレードの提供など、将来的には、さらなる販売チャンネルの拡大も計画されている。 2008/07/03 08:10 【ソフトウェア

 

ホワイトペーパー

重要なIT設備のための冷却方式の検討
提供:APCジャパン
日本のCMSニーズとFirstSite Lite 
提供:FatWire
ビジネスプロセス管理 - ITIL有効活用のための鍵
提供:LANDesk Software
【ナガセケムテックス様】 ITIL活用支援コンサルティングサービス導入事例
提供:日本CA
中堅企業に最適なデータ管理とは
提供:ネットアップ
ブランク・パネルを使ってラックの冷却効率パフォーマンスを改善する
提供:APCジャパン
データセンタと電算室における電源システムの課題
提供:APCジャパン
上流コンサルティングについて (キャリアパスとキャリアアップ)
提供:テクノブレーン

イベント

プレスリリース

最新記事

企画特集

Techno ExchangeTechno Exchange
全体最適化で進めるCTCのグリーンIT戦略
「未来の、その先」をどう提言していくか「未来の、その先」をどう提言していくか
クラウドコンピューティングが導く新しいシステム
DELL連載第4回〜「Microsoft System Center」DELL連載第4回〜「Microsoft System Center」
PowerEdgeサーバに最適な運用管理ソリューション後編
ZDNet Japan Green ITZDNet Japan Green IT
洞爺湖サミット目前!環境に配慮したGreen ITとは?
今知るべき仮想化情報今知るべき仮想化情報
インフラからアプリケーションまで、これを知らずに仮想化は語れない
ブレードPCでクライアント統合
セキュリティ、TCO削減、グリーンITを一挙解決
スパムメール検出率No.1
強固なスパムメール対策と積極的防衛
満足度が高いのは、「使いこなせる」ERP
あのレストランチェーンや通販会社が選んだ決め手は?

ブログ

ブログ RSS Feed
洞爺湖と環境と私
裏方の裏方日記〜日々是広報 2008/05/20 12:57

IT製品比較

IT製品で御社の問題を解決:

営業力不足
業務効率低下
貧弱なネットワーク

コスト増大
情報力不足
ネット販促の不振

注目トピックス From CNET Japan

プロがなぜ、二次創作を願うのか--Gacktが歌い、三浦建太郎が描く「がくっぽいど」
ミュージシャンのGacktさんと漫画家の三浦建太郎さんという2人のプロが参加しながらも、ユーザーが自由に作品を公開できるという歌声合成ソフト「がくっぽいど」。この開発経緯を開発元に聞いた。
iPhone、月額通信料金は7280円からに--ソフトバンクモバイルが発表
UPDATE ソフトバンクモバイルはiPhoneの通信料金プランを発表した。月額980円のホワイトプランに、データ定額制プラン「パケット定額フル」、「S!ベーシックパック(i)」をあわせ、月額7280円からとなる。
ジョブズ氏引退後のアップルを考える
カリスマ的な創業者が社を去った後、会社の業績が低迷する事例は、ハイテクだけでなく、さまざまな業界で見られる。アップルは「ジョブズ氏後」に備えているのかどうか検討する。
シーネットネットワークスジャパンについて
Copyright ©1995-2008 CNET Networks, Inc. All Rights Reserved.