Internet Watch logo
記事検索
最新ニュース

ソフテック、高木浩光氏と共同開発したセッション管理自動検証ツール


ソフテックの加藤努社長
 ソフテックは17日、Webアプリケーションのセッション管理の欠陥を自動的に検出・検証するツール「WebProbe」を12月1日に発売すると発表した。価格は、1カ月利用ライセンスの場合で98,000円。

 WebProbeは、独立行政法人産業技術総合研究所グリッド研究センターの高木浩光氏とソフテックが共同開発したソフトウェアで、高木氏が手動で行なっていたWebアプリケーションのセッション管理の欠陥検出に特化し、手法を自動化したもの。同社では、Webアプリケーション開発者や発注者、監査ビジネス事業者などを対象に販売していく。

 Webアプリケーションの脆弱性には、クロスサイトスクリプティング脆弱性やSQLインジェクションなどもあるが、これらの脆弱性に対しては既存のスキャン方式の検査ツールで対応可能だ。しかし、WebProbeが行なうセッション管理の欠陥検出は、スキャン方式では難しいという。

 WebProbeは、ログイン時のCookieや、HTML内のhiddenパラメータなどから「セッション追跡パラメータ」を推定し、そのセッション追跡パラメータを基に20項目を超える脆弱性を検査する。検査は、異なるIDでログインするなど数回試行することにより、より精度が上がるという。検査結果は、脆弱性の詳細な解説とともに問題点もリストアップされる。

 具体的には、WebProbeを通してECサイトなどへアクセスし、ログインやリンクのクリック、ログアウトなどを行なうだけで、WebProbeが自動的にセッション情報を収集し、検査結果を表示する。このように、検査は通常のIDとパスワードでログインし、リンクをクリックするだけなので、不正なアクセスや負荷をかけることがない。したがって、稼動中のサイトに対しても問題なく検査可能だという。

 同社ではWebProbeの販売に合わせて、WebProbeを用いてセッション管理の欠陥を検出・検証する「One-Shot 検査サービス」を提供する。このサービスでは、ソフテックが代理で検査を行ない、Webサイトに対する検査報告書の提出ならびに簡易コンサルティングを行なう。価格は25万円から。

 ソフテックの加藤努社長は、「Webアプリケーションのセキュリティに関しては、まだまだ知らない人が多いのが現状だ。しかも、開発者でさえ、知らない場合が多いため、結果として多くのWebサイト上に潜んでしまっている。このツールを安価で提供し、啓蒙活動をあわせて行なうことにより、セッション管理の欠陥をなくしていきたい」と語った。


事前に調査対象サイトのIDやパスワードを登録しておく 実際の検査では、このように画面上でログインやリンクをクリックするだけでよい

検査結果を表示しているところ。23の検査項目の結果が表示されているが、項目数は今後追加される予定だという

関連情報

URL
  WebProbe
  http://www.softek.co.jp/Sec/WebProbe/

関連記事
産総研の高木氏、Webアプリの欠陥検査方法を解説(2003/10/24)


( 大津 心 )
2003/11/17 18:18

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.