サイト脆弱性をチェックしよう!--第9回:AppScanによるアプリ脆弱性の自動検査 - (page 5)

池田雅一(テクマトリックス)

2008-03-11 23:51

 AppScanでは、発見された脆弱性の概要、修正方法(一般的なもの、.NET、J2EE、PHPに特化したもの)、脆弱性が発見されたURL、パラメータと攻撃パターン、HTTPリクエストとレスポンス、脆弱性があると判断した理由を確認できる。

 いくつかのテストでは、AppScanによる自動検査だけでは脆弱性の有無の判断ができないことがあるため、これらの情報をもとに、検出された脆弱性に間違いがないかを判断する。

 前回までに説明しましたが、多くの脆弱性は修正方法がエスケープ処理を正しく行うことなど、非常に似ている。そのため、AppScan7.5から、脆弱性ごとの切り口ではなく、修正方法ごとでの確認ができる「修復ビュー」という機能が追加された。このビューを使用することで、開発者はすばやく対策を行うことができる。

修復ビュー AppScan7.5では、修復ビューを使用することですばやく対策を行うことができる(※クリックすると拡大画像が見られます)。

4)レポート作成フェーズ

 テストフェーズで行ったテスト結果をレポートとして出力する。どのような脆弱性が存在するのか、その脆弱性が存在するURLやパラメータ、Cookieの名前などが出力される出力項目はカスタマイズできるものが数多くある。

 AppScanのレポートは、PDF、リッチテキストなどの形式で出力できる。レポートは設定により、検査結果の統計情報を含む概要、リクエストとレスポンス、画面キャプチャ、脆弱性の解説などを含めることができる。

 また、AppScanでは、2つの検査結果の差分をレポートとして出力することも可能。このレポートを用いることで最初の検査で発見された脆弱性を修正した後に再度検査を行い、どの程度修正されたかを数値として確認することができる。

レポート作成フェーズ AppScanのレポートは、PDF、リッチテキストなどの形式で出力できる(※クリックすると拡大画像が見られます)。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]