セキュリティについて質問です。


WEBアプリなどのセキュリティをチェックしたいと考えております。
サーバーのセキュリティチェックなどはちょくちょく見かけるのですが、サーバーの上に構築したWEBアプリなどに関するセキュリティチェックを行うものがなかなか見つかりません。

ログイン部分のセキュリティやデータベースも扱うのでそういったもののセキュリティがどの程度のものなのかを客観的に判断できればと考えております。

有償・無償は問いませんが無償などでもWebアプリなどのセキュリティ診断を行えるものがあれば教えていただけないでしょうか。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2013/01/28 09:54:33
  • 終了:2013/02/04 09:55:03

回答(5件)

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472013/01/28 10:24:23

ポイント20pt

Webアプリの脆弱性を検出するツールはありますか? - 徳丸浩のtumblr
チェックツールで有償/無償がありますが、無償な物はそれなりに、有償なものには高い値段の理由がある、といった感じです。

結局は、どこまで真剣にチェックするか、という事になるのですが、これを真面目にやろうとしたら、専門の業者にコンサルティングをお願いする、という話になると思います。

紹介したページは、Web アプリケーションに携わるものなら、その名を知らない人はいない(多分)徳丸 浩さんのページですが、徳丸さん自体も HASH コンサルティングという、セキュリティ調査のサービスを行う会社を経営されています。

id:morethanjustase No.2

morethanjustase回答回数35ベストアンサー獲得回数52013/01/28 11:33:26

ポイント20pt

有償となりますが、専門業者に依頼することで、最新の攻撃手法に対応したセキュリティチェックを受けることができます。有名どころのサービスをいくつか挙げておきます。

下記の会社の診断レポートでは、脆弱性が認められたWebアプリケーションの改修方針も示されます。当然それなりの費用がかかりますが、ケースによっては利用する価値があると思います。

NTTデータ先端技術
Webアプリケーション診断サービス
「Webアプリケーション診断サービスは、Webサイト上の個人情報や機密情報に対して適切な管理措置を講じるために必要な対策方針を提案し、改修のアドバイスを行うサービスです。」

三井物産セキュアディレクション
Webアプリケーション診断サービス
「MBSDのWebアプリケーション診断サービスは、お客様のWebアプリケーションをセキュリティエンジニアが攻撃者の視点に立って模擬攻撃を行い、お客様のWebサービスに潜む危険性を隅々まで調査、診断するサービスです。検出された脆弱性の詳細なレポートと併せて有効な対策を報告し、安全なWebサービスの運用を支援します。」

id:oil999 No.3

oil999回答回数1728ベストアンサー獲得回数3202013/01/28 12:41:33

ポイント20pt

Paros

http://www.parosproxy.org/index.shtml

Proxyの設定をしたブラウザでチェックしたいアプリケーションにアクセスするだけ、脆弱性報告レポートを出力してくれます。
使い方は下記ページをご覧下さい。
http://d.hatena.ne.jp/shimooka/20070521/1179720807

id:pretaroe No.4

pretaroe回答回数531ベストアンサー獲得回数752013/01/28 15:01:16

ポイント20pt


IBM Security AppScan(Webアプリケーション脆弱性検査ツール)
http://www-06.ibm.com/software/jp/rational/products/test/appscan/

日本の会社の場合、これを使ってるところも結構あります。
テストを業者に依頼した場合でも、そこでこれを使用してる場合とか・・。

5. 自動脆弱性スキャナーの使い方を学ぶ

有料のものとしては Burp Scanner がお勧めです。OWASP の ZAP や Google の RatProxy など、無料のものもあります。これらはプロキシを通してアプリケーション間で HTTP トラフィックをルーティングし、元の値を置き換えるさまざまな攻撃試行でもってリクエストを再送信することで動作します。
http://japan.blogs.atlassian.com/2012/03/13-steps-to-learn-perfect-security-testing-in-your-org/

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません