セキュリティテスト

セキュリティテストとは何ですか?

セキュリティテストは、情報システムがデータを保護し、意図したとおりに機能を維持しているかどうかを判断するためのテスト手法です。また、以下に示す6つの基本原則を検証することも目的としています。

  • Confidentiality

  • Integrity

  • Authentication

  • Authorization

  • Availability

  • Non-repudiation

セキュリティテスト-テクニック:

  • Injection

  • 壊れた認証とセッション管理

  • クロスサイトスクリプティング(XSS)

  • 安全でない直接オブジェクト参照

  • セキュリティの設定ミス

  • 機密データの公開

  • 機能レベルのアクセス制御がありません

  • クロスサイトリクエストフォージェリ(CSRF)

  • 既知の脆弱性を持つコンポーネントの使用

  • 未検証のリダイレクトと転送

オープンソース/無料のセキュリティテストツール:

製品 ベンダー URL
FxCop マイクロソフト https://www.owasp.org/index.php/FxCop
FindBugs メリーランド大学 http://findbugs.sourceforge.net/
FlawFinder GPL http://www.dwheeler.com/flawfinder/
ランプアセンド GPL http://www.deque.com

商用セキュリティテストツール:

製品 ベンダー URL
CodeSecureを装甲する アーマライズテクノロジー http://www.armorize.com/index.php?link_id=codesecure
GrammaTech GrammaTech http://www.grammatech.com/
Appscan IBM http://www-03.ibm.com/software/products/en/appscan-source
ベラコード VERACODE http://www.veracode.com