Jtest Security-Java対応ソースコードセキュリティ検証ツール-
検出できる脆弱性(抜粋)
Webアプリケーションに対する攻撃には、OWASP (Open Web Application Security Project)が発表するOWASP Top 10のように、よく知られたパターンに基づくものがあります。 これらの脆弱性はよく知られているにもかかわらず、依然として多くのサイトに脆弱性が存在し、攻撃の試みも後を絶ちません。
Jtest Securityはソースコード自体を解析することでセキュリティ脆弱性を検証します。そのため、膨大なパターンのテストデータを作成したり、テスト実行用の環境を用意する必要もありません。静的に解析するので、アプリケーションを動作させる必要がないので、少ないコストで効果的なセキュリティ検証を実行できます。
Jtest Securityは次の2つの解析技術を備えています。
Jtest Securityは次の2つの解析技術を備えています。
- 自動コーディングスタンダード解析(パターンマッチングによる解析)
ソースコード全体を解析し、セキュリティ脆弱性の原因となるパターンをピンポイントで指摘します。違反の箇所がピンポイントで特定されるため、脆弱性の原因がどこにあるかを探し出す必要がありません。 - バグ探偵(自動フロー解析)
擬似的にコードの処理フローを実行し、不正なデータが入り込む可能性のある箇所を探します。解析結果には、不正なデータが入り込んだ箇所からデータが使用される箇所までのフローをわかりやすく表示します。テストデータを必要としないため、まれにしか実行されないフローやテストが困難なフローも検証することができます。
以下のリストは、よく知られたWebアプリケーションの脆弱性です。リンク先にそれぞれについて、その説明とJtest Securityでどのようにそれらの脆弱性を検出するのかをご紹介します。
Jtest Securityが検出する脆弱性(抜粋)一覧
- クロスサイト スクリプティング(XSS)
- SQLインジェクション、コマンドインジェクション、XMLインジェクションなどのインジェクション
- HTTPレスポンス分割
- 悪意のあるファイルの実行
- 強制ブラウズ
- 不適切なエラー処理(近日公開予定)
| |||||||||
