編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

サイト脆弱性をチェックしよう!--第9回:AppScanによるアプリ脆弱性の自動検査 - (page 6)

池田雅一(テクマトリックス)

2008-03-11 23:51

AppScanに特徴的な機能:ステートインデューサ

 従来の検査ツールでは、画面遷移の順番に厳しいアプリケーションは正しく検査を行うことが難しいものだった。先の例で、「リクエスト3」→「リクエスト4」を先に送信しないと、「リクエスト5」が正常に実行できないアプリケーションがそれにあたる。

 従来の検査ツールは、画面遷移順を考慮しておらず、テストの際に「リクエスト5」をテストするときには、「リクエスト5」しか送信しなかったため、このような場合は正常に検査することが困難だった。

 しかし、AppScan7.7から、検査をより正確にする機能である「ステートインデューサ」が追加され、このようなアプリケーションでも正常に検査することができるようになっている。

 ステートインデューサで、「リクエスト3」→「リクエスト4」→「リクエスト5」という一連の流れを登録すると、「リクエスト5」のテストを実施するときに、「リクエスト3」→「リクエスト4」が事前に送信されてから「リクエスト5」が送信される。

 これにより正常な画面遷移が実行されるため、正確にテストができるようになった。

特殊なパラメータの受け渡し

 アプリケーションの中には、パラメータの区切りが「&」ではなく、「;」や「/」などを使用するものがある。

 AppScan7.7から、このように一般的でないパラメータの区切りであっても、適切に処理ができるようにGUIで設定することができる。この機能を用いてJSONやSOAPで受け渡されるデータの検査も実行できるようになっている。

 今回は、自動検査ツールによる検査の方法について説明した。検査を行うには脆弱性に関する知識が必要で、また人の手でひとつ1つ地道に行わなければならない。しかし自動検査ツールを使用することで、ウェブアプリケーションの操作ができさえすれば、最低限の検査を簡単に実施することができるようになった。

 ウェブアプリケーションのセキュリティ対策の必要性が叫ばれる中、検査ツールも確実に機能向上を果たしている。安全なウェブアプリケーションの開発において、検査ツールの利用も検討してみてはいかがだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]