AppScanに特徴的な機能:ステートインデューサ
従来の検査ツールでは、画面遷移の順番に厳しいアプリケーションは正しく検査を行うことが難しいものだった。先の例で、「リクエスト3」→「リクエスト4」を先に送信しないと、「リクエスト5」が正常に実行できないアプリケーションがそれにあたる。
従来の検査ツールは、画面遷移順を考慮しておらず、テストの際に「リクエスト5」をテストするときには、「リクエスト5」しか送信しなかったため、このような場合は正常に検査することが困難だった。
しかし、AppScan7.7から、検査をより正確にする機能である「ステートインデューサ」が追加され、このようなアプリケーションでも正常に検査することができるようになっている。
ステートインデューサで、「リクエスト3」→「リクエスト4」→「リクエスト5」という一連の流れを登録すると、「リクエスト5」のテストを実施するときに、「リクエスト3」→「リクエスト4」が事前に送信されてから「リクエスト5」が送信される。
これにより正常な画面遷移が実行されるため、正確にテストができるようになった。
特殊なパラメータの受け渡し
アプリケーションの中には、パラメータの区切りが「&」ではなく、「;」や「/」などを使用するものがある。
AppScan7.7から、このように一般的でないパラメータの区切りであっても、適切に処理ができるようにGUIで設定することができる。この機能を用いてJSONやSOAPで受け渡されるデータの検査も実行できるようになっている。
今回は、自動検査ツールによる検査の方法について説明した。検査を行うには脆弱性に関する知識が必要で、また人の手でひとつ1つ地道に行わなければならない。しかし自動検査ツールを使用することで、ウェブアプリケーションの操作ができさえすれば、最低限の検査を簡単に実施することができるようになった。
ウェブアプリケーションのセキュリティ対策の必要性が叫ばれる中、検査ツールも確実に機能向上を果たしている。安全なウェブアプリケーションの開発において、検査ツールの利用も検討してみてはいかがだろう。
