診断の種類
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2019/07/08 08:41 UTC 版)
「ウェブアプリケーション脆弱性診断」の記事における「診断の種類」の解説
IPAによるとウェブアプリケーションセキュリティ検査ツールは以下の3タイプに分けられる。 自動検査型 検査ツールがウェブクライアントとして動作し、検査用コードの入ったリクエストをウェブサイトに自動送信し、ウェブサイトからのレスポンスを元に検査実施者にレポートを出力する。このタイプのものはツールに予め用意されている量の検査用コードを試自動で試せるのが利点であるが、人力に頼る「手動検査型」ほど細かな検査はできない。 手動検査型 ブラウザとウェブサイトの間のプロキシとして動作するもので、検査実施者がブラウザでウェブサイトにアクセスした際に発生するリクエストをプロセスである検査ツールが補足し、取得したリクエストの一部を検査実施者が手動で検査用のコードを埋め込む形で書き換え、書き換えたリクエストをウェブサイトに送信してその反応をみる事で脆弱性検査を行う。 通信監視型 検査ツールは検査実施者が操作するブラウザとウェブサイトとの通信を(書き換えずに)補足し、補足した情報から不審な動作等を探して検査実施者にレポートとして出力する。自動検査型や手動検査型と違い検査用コードをウェブサイトに送りつける事がないので、詳細な検査はできないが、その分検査によりウェブサイトに障害が発生する可能性が格段に低いという利点がある。
※この「診断の種類」の解説は、「ウェブアプリケーション脆弱性診断」の解説の一部です。
「診断の種類」を含む「ウェブアプリケーション脆弱性診断」の記事については、「ウェブアプリケーション脆弱性診断」の概要を参照ください。
- 診断の種類のページへのリンク