WEBアプリなどのセキュリティをチェックしたいと考えております。
サーバーのセキュリティチェックなどはちょくちょく見かけるのですが、サーバーの上に構築したWEBアプリなどに関するセキュリティチェックを行うものがなかなか見つかりません。
ログイン部分のセキュリティやデータベースも扱うのでそういったもののセキュリティがどの程度のものなのかを客観的に判断できればと考えております。
有償・無償は問いませんが無償などでもWebアプリなどのセキュリティ診断を行えるものがあれば教えていただけないでしょうか。
No.1
966
247
20pt
Webアプリの脆弱性を検出するツールはありますか? - 徳丸浩のtumblr
チェックツールで有償/無償がありますが、無償な物はそれなりに、有償なものには高い値段の理由がある、といった感じです。
結局は、どこまで真剣にチェックするか、という事になるのですが、これを真面目にやろうとしたら、専門の業者にコンサルティングをお願いする、という話になると思います。
紹介したページは、Web アプリケーションに携わるものなら、その名を知らない人はいない(多分)徳丸 浩さんのページですが、徳丸さん自体も HASH コンサルティングという、セキュリティ調査のサービスを行う会社を経営されています。
No.2
355
20pt
有償となりますが、専門業者に依頼することで、最新の攻撃手法に対応したセキュリティチェックを受けることができます。有名どころのサービスをいくつか挙げておきます。
下記の会社の診断レポートでは、脆弱性が認められたWebアプリケーションの改修方針も示されます。当然それなりの費用がかかりますが、ケースによっては利用する価値があると思います。
NTTデータ先端技術
Webアプリケーション診断サービス
「Webアプリケーション診断サービスは、Webサイト上の個人情報や機密情報に対して適切な管理措置を講じるために必要な対策方針を提案し、改修のアドバイスを行うサービスです。」
三井物産セキュアディレクション
Webアプリケーション診断サービス
「MBSDのWebアプリケーション診断サービスは、お客様のWebアプリケーションをセキュリティエンジニアが攻撃者の視点に立って模擬攻撃を行い、お客様のWebサービスに潜む危険性を隅々まで調査、診断するサービスです。検出された脆弱性の詳細なレポートと併せて有効な対策を報告し、安全なWebサービスの運用を支援します。」
No.3
1728320
20pt
http://www.parosproxy.org/index.shtml
Proxyの設定をしたブラウザでチェックしたいアプリケーションにアクセスするだけ、脆弱性報告レポートを出力してくれます。
使い方は下記ページをご覧下さい。
http://d.hatena.ne.jp/shimooka/20070521/1179720807
No.4
53175
20pt
■
IBM Security AppScan(Webアプリケーション脆弱性検査ツール)
http://www-06.ibm.com/software/jp/rational/products/test/appscan/
日本の会社の場合、これを使ってるところも結構あります。
テストを業者に依頼した場合でも、そこでこれを使用してる場合とか・・。
■
5. 自動脆弱性スキャナーの使い方を学ぶ
有料のものとしては Burp Scanner がお勧めです。OWASP の ZAP や Google の RatProxy など、無料のものもあります。これらはプロキシを通してアプリケーション間で HTTP トラフィックをルーティングし、元の値を置き換えるさまざまな攻撃試行でもってリクエストを再送信することで動作します。
http://japan.blogs.atlassian.com/2012/03/13-steps-to-learn-perfect-security-testing-in-your-org/
347
347
2
1
1
コメント(0件)