前回まで、主な脆弱性の検査方法について説明してきた。前回の最後にも説明したとおり、アプリケーションの脆弱性検査を手動で行うには、非常に大きな手間とある程度の技術や知識が必要となる。
また、手動による検査では検査する人の技術レベルに依存しがちだ。このため、検査の水準を一定に、低コストで実施できる自動検査ツールの利用も進んでいる。
そこで今回は、「IBM Rational AppScan」を例として、自動検査ツールについて説明しよう。
自動検査ツールの原理
検査を行う時に必要な情報は、ウェブアプリケーションを利用するときに、ブラウザからサーバへ送信されるHTTPリクエストだ。HTTPリクエストには、以下のものが含まれている。
- 接続先のURL
- HTTPリクエストヘッダ
- Cookie - パラメータ
多くの検査ツールは、これらの情報を取得するために、ブラウザとサーバとの間のProxyとして動作する。ブラウザからサーバへ送信されるHTTPリクエストを受け取り、送信されるCookieやクエリパラメータ、POSTボディパラメータなどを解析することで、ウェブアプリケーションで使用されているパラメータ(パラメータ名と値)やURLなどの情報を取得できる。
探査時の動作
こうして得られたパラメータやURLなどの情報をもとに、各パラメータの値をひとつずつ検査パターンに書き換えてからリクエストを送信し、テストを行う。
テスト時の動作
関連情報
-
Ziddyちゃんの「私を社食に連れてって」:クリスマス特別編
メリークリスマス! 今回のZiddyちゃんシリーズはクリスマス特別編。テクマトリックスのクリスマスパーティーに潜入したZiddyちゃんは、イケメン2人の案内役もついて大はしゃぎです。 - 日本IBMとテクマトリックスなど、DBセキュリティ強化を可能とするパッケージ製品
- サイボウズ、クロス・ヘッドの株式をテクマトリックスに譲渡
- テクマトリックス
「セキュリティ」 の新着情報
-
アップル、「Security Update 2008-007」を公開
アップルが米国時間10月9日、セキュリティアップデートを公開した。「Single Sign On」「Finder」「ColorSync」の脆弱性に対... - マイクロソフト、セキュリティ情報の開発者向け先行通知を開始
- Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能
- 予想通り:MSはWindows 7でUACを微調整する予定
- インフォテリア・オンライン、セキュリティと利便性を追求したファイル転送サービス「OnTranq」を開始
- セキュリティ 一覧へ »
「サイト脆弱性をチェックしよう!」 のバックナンバー
-
サイト脆弱性をチェックしよう!--第8回:セッション管理における脆弱性
前回は、情報漏えいにつながる可能性の高い脆弱性について説明した。今回は、セッション管理における脆弱性について説明していく。 -
サイト脆弱性をチェックしよう!--第7回:「ディレクトリトラバーサル」と「強制ブラウジング」
-
サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法
-
サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法
-
サイト脆弱性をチェックしよう!--第4回:開発工程におけるレビューやテストのコツ(その2)
- サイト脆弱性をチェックしよう! 一覧へ »
ホワイトペーパー
ZDNet Japan Essential Topic
-
【一流企業が用意する活躍の舞台】
各社のキーマンが考えるキャリア*公開中! -
コラボレーション基盤特集
Notes置換とバージョンアップの情報はこちら
企画特集
[PR]
-
グリーンITの第一歩は見える化です
経営・財務・情報システムの3つの視点から環境対応を考える -
Techno Exchange
RackableとCTCの地球にやさしい関係 -
ERPパッケージの導入を成功させるコツ
成功させるコツをクイズ形式のWebcastで配信中 -
これからの時代のセキュリティ対策
くるぞ!in the cloudソリューション -
ZDNet Japan Green IT
サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ! -
エンタメCGM「gooメーカー☆メーカー」
【第2回】メーカー/占いのコンテンツを作ってみた! -
なぜ社内文書は無秩序に分散するのか?
真の文書管理を考える3か条に迫る!
ZDNet Japan イベント
- 開催日:2008年10月23日(木)
- イベント一覧へ»
