人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

セキュリティについて質問です。

WEBアプリなどのセキュリティをチェックしたいと考えております。
サーバーのセキュリティチェックなどはちょくちょく見かけるのですが、サーバーの上に構築したWEBアプリなどに関するセキュリティチェックを行うものがなかなか見つかりません。

ログイン部分のセキュリティやデータベースも扱うのでそういったもののセキュリティがどの程度のものなのかを客観的に判断できればと考えております。

有償・無償は問いませんが無償などでもWebアプリなどのセキュリティ診断を行えるものがあれば教えていただけないでしょうか。

●質問者: quocard
●カテゴリ:ウェブ制作
○ 状態 :終了
└ 回答数 : 5/5件

▽最新の回答へ

1 ● JULY
●20ポイント

Webアプリの脆弱性を検出するツールはありますか? - 徳丸浩のtumblr
チェックツールで有償/無償がありますが、無償な物はそれなりに、有償なものには高い値段の理由がある、といった感じです。

結局は、どこまで真剣にチェックするか、という事になるのですが、これを真面目にやろうとしたら、専門の業者にコンサルティングをお願いする、という話になると思います。

紹介したページは、Web アプリケーションに携わるものなら、その名を知らない人はいない(多分)徳丸 浩さんのページですが、徳丸さん自体も HASH コンサルティングという、セキュリティ調査のサービスを行う会社を経営されています。


2 ● morethanjustase
●20ポイント

有償となりますが、専門業者に依頼することで、最新の攻撃手法に対応したセキュリティチェックを受けることができます。有名どころのサービスをいくつか挙げておきます。

下記の会社の診断レポートでは、脆弱性が認められたWebアプリケーションの改修方針も示されます。当然それなりの費用がかかりますが、ケースによっては利用する価値があると思います。

NTTデータ先端技術
Webアプリケーション診断サービス
「Webアプリケーション診断サービスは、Webサイト上の個人情報や機密情報に対して適切な管理措置を講じるために必要な対策方針を提案し、改修のアドバイスを行うサービスです。」

三井物産セキュアディレクション
Webアプリケーション診断サービス
「MBSDのWebアプリケーション診断サービスは、お客様のWebアプリケーションをセキュリティエンジニアが攻撃者の視点に立って模擬攻撃を行い、お客様のWebサービスに潜む危険性を隅々まで調査、診断するサービスです。検出された脆弱性の詳細なレポートと併せて有効な対策を報告し、安全なWebサービスの運用を支援します。」


3 ● oil999
●20ポイント

Paros

http://www.parosproxy.org/index.shtml

Proxyの設定をしたブラウザでチェックしたいアプリケーションにアクセスするだけ、脆弱性報告レポートを出力してくれます。
使い方は下記ページをご覧下さい。
http://d.hatena.ne.jp/shimooka/20070521/1179720807


4 ● pretaroe
●20ポイント


IBM Security AppScan(Webアプリケーション脆弱性検査ツール)
http://www-06.ibm.com/software/jp/rational/products/test/appscan/

日本の会社の場合、これを使ってるところも結構あります。
テストを業者に依頼した場合でも、そこでこれを使用してる場合とか・・。

5. 自動脆弱性スキャナーの使い方を学ぶ

有料のものとしては Burp Scanner がお勧めです。OWASP の ZAP や Google の RatProxy など、無料のものもあります。これらはプロキシを通してアプリケーション間で HTTP トラフィックをルーティングし、元の値を置き換えるさまざまな攻撃試行でもってリクエストを再送信することで動作します。
http://japan.blogs.atlassian.com/2012/03/13-steps-to-learn-perfect-security-testing-in-your-org/


5 ● Cherenkov
●20ポイント
関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ