グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開

文:Tom Espiner(ZDNet UK) 翻訳校正:佐藤卓、高橋朋子

2010-03-23 13:39

 Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。

 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。

 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。

 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っているため、ユーザーは自分に合ったツールを利用するのが望ましいとしながらも、Zalewski氏はskipfishの性能の高さをアピールしている。skipfishを用いた場合、テスト対象のサーバの能力によっては、インターネット上のターゲットに対して1秒あたり500件余り、LAN上では1秒あたり2000件余りのリクエストを処理できるという。

 それでも、skipfishは「特効薬」ではないとZalewski氏は警告する。同氏によれば、skipfishは、セキュリティ関連団体Web Application Security Consortium(WASC)が規定する「Web Application Security Scanner Evaluation Criteria」(WASSEC:ウェブアプリケーション用セキュリティスキャナ評価基準)の要件の多くを意図的に満たしておらず、さらに、既知の脆弱性を網羅したデータベースも搭載していないという。

 Googleは、このツールを各自の責任において使用するようユーザーに求めている。「何よりもまず、悪用しないようにお願いしたい。skipfishは、自身が所有するサービス、またはテストの実行を許可されたサービスにのみ使用してほしい」とZalewski氏は述べている。

 skipfishは純粋なC言語で書かれ、「Apache License 2.0」の下で公開されている。入手可能な最新バージョンは1.11ベータ版だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]