Webアプリケーションに対する攻撃には、OWASP (Open Web Application Security Project)が発表するOWASP Top 10のように、よく知られたパターンに基づくものがあります。 これらの脆弱性はよく知られているにもかかわらず、依然として多くのサイトに脆弱性が存在し、攻撃の試みも後を絶ちません。

dotTESTはソースコード自体を解析することでセキュリティ脆弱性を検証します。そのため、膨大なパターンのテストデータを作成したり、テスト実行用の環境を用意する必要もありません。静的に解析するので、アプリケーションを動作させる必要がないので、少ないコストで効果的なセキュリティ検証を実行できます。
dotTESTは次の2つの解析技術を備えています。

• コーディングスタンダード解析(パターンマッチングによる解析)
  ソースコード全体を解析し、セキュリティ脆弱性の原因となるパターンをピンポイントで指摘します。違反の箇所がピンポイントで特定されるため、脆弱性の原因がどこにあるかを探し出す必要がありません。


• フロー解析
  擬似的にコードの処理フローを実行し、不正なデータが入り込む可能性のある箇所を探します。解析結果には、不正なデータが入り込んだ箇所からデータが使用される箇所までのフローをわかりやすく表示します。テストデータを必要としないため、まれにしか実行されないフローやテストが困難なフローも検証することができます。

以下のリストは、よく知られたWebアプリケーションの脆弱性です。リンク先にそれぞれについて、その説明とdotTESTでどのようにそれらの脆弱性を検出するのかをご紹介します。

※ セキュリティルール及びセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。