セキュリティテスト
セキュリティテストとは何ですか?
セキュリティテストは、情報システムがデータを保護し、意図したとおりに機能を維持しているかどうかを判断するためのテスト手法です。また、以下に示す6つの基本原則を検証することも目的としています。
Confidentiality
Integrity
Authentication
Authorization
Availability
Non-repudiation
セキュリティテスト-テクニック:
Injection
壊れた認証とセッション管理
クロスサイトスクリプティング(XSS)
安全でない直接オブジェクト参照
セキュリティの設定ミス
機密データの公開
機能レベルのアクセス制御がありません
クロスサイトリクエストフォージェリ(CSRF)
既知の脆弱性を持つコンポーネントの使用
未検証のリダイレクトと転送
オープンソース/無料のセキュリティテストツール:
| 製品 | ベンダー | URL |
|---|---|---|
| FxCop | マイクロソフト | https://www.owasp.org/index.php/FxCop |
| FindBugs | メリーランド大学 | http://findbugs.sourceforge.net/ |
| FlawFinder | GPL | http://www.dwheeler.com/flawfinder/ |
| ランプアセンド | GPL | http://www.deque.com |
商用セキュリティテストツール:
| 製品 | ベンダー | URL |
|---|---|---|
| CodeSecureを装甲する | アーマライズテクノロジー | http://www.armorize.com/index.php?link_id=codesecure |
| GrammaTech | GrammaTech | http://www.grammatech.com/ |
| Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
| ベラコード | VERACODE | http://www.veracode.com |