ウェブアプリケーションセキュリティ検査
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「ウェブアプリケーションセキュリティ検査」の解説
詳細は「ウェブアプリケーション脆弱性診断」を参照 「脆弱性検査ツール#Webアプリケーション脆弱性検査ツール」も参照 ウェブアプリケーションセキュリティ検査はウェブアプリケーションに文字列を送信したり、ページ遷移を確認したり、ログ解析したりするなど、ウェブアプリケーションに特化した検査である。何らかのツールやサービスを用いて主に開発時のテスト工程と運用時に行われる。他の検査と同様、実装時に作り込んだ脆弱性は発見できるものの、設計段階で入り込んだ脆弱性を発見するのは難しい。 IPAによるとウェブアプリケーションセキュリティ検査ツールは3タイプに分けられる。第一のタイプのものは、ブラウザとウェブサイトの間のプロキシとして動作するもので、検査実施者がブラウザでウェブサイトにアクセスした際に発生するリクエストをプロセスである検査ツールが補足し、取得したリクエストの一部を検査実施者が手動で検査用のコードを埋め込む形で書き換え、書き換えたリクエストをウェブサイトに送信してその反応をみる事で脆弱性検査を行う。 第二のタイプは検査ツールがウェブクライアントとして動作し、検査用コードの入ったリクエストをウェブサイトに自動送信し、ウェブサイトからのレスポンスを元に検査実施者にレポートを出力する。第二のタイプのものはツールに予め用意されている量の検査用コードを試自動で試せるのが利点であるが、人力に頼る第一のタイプほど細かな検査はできない。 第三のタイプでは検査ツールは検査実施者が操作するブラウザとウェブサイトとの通信を(書き換えずに)補足し、補足した情報から不審な動作等を探して検査実施者にレポートとして出力する。第一、第二のタイプと違い検査用コードをウェブサイトに送りつける事がないので、詳細な検査はできないが、その分検査によりウェブサイトに障害が発生する可能性が格段に低いという利点がある。
※この「ウェブアプリケーションセキュリティ検査」の解説は、「サイバーセキュリティ」の解説の一部です。
「ウェブアプリケーションセキュリティ検査」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- ウェブアプリケーションセキュリティ検査のページへのリンク
