検出できるセキュリティ脆弱性(抜粋)

Webアプリケーションに対する攻撃には、OWASP (Open Web Application Security Project)が発表するOWASP Top 10のように、よく知られたパターンに基づくものがあります。 これらの脆弱性はよく知られているにもかかわらず、依然として多くのサイトに脆弱性が存在し、攻撃の試みも後を絶ちません。

脆弱性報告件数の傾向

Jtestはソースコード自体を解析することでセキュリティ脆弱性を検証します。そのため、膨大なパターンのテストデータを作成したり、テスト実行用の環境を用意する必要もありません。静的に解析するので、アプリケーションを動作させる必要がないので、少ないコストで効果的なセキュリティ検証を実行できます。
Jtestは次の2つの解析技術を備えています。

  • コーディングスタンダード解析(パターンマッチングによる解析)
    ソースコード全体を解析し、セキュリティ脆弱性の原因となるパターンをピンポイントで指摘します。違反の箇所がピンポイントで特定されるため、脆弱性の原因がどこにあるかを探し出す必要がありません。

  • フロー解析
    擬似的にコードの処理フローを実行し、不正なデータが入り込む可能性のある箇所を探します。解析結果には、不正なデータが入り込んだ箇所からデータが使用される箇所までのフローをわかりやすく表示します。テストデータを必要としないため、まれにしか実行されないフローやテストが困難なフローも検証することができます。
以下のリストは、よく知られたWebアプリケーションの脆弱性です。リンク先にそれぞれについて、その説明とJtestでどのようにそれらの脆弱性を検出するのかをご紹介します。
※ セキュリティルール及びセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。

Jtestで行うセキュアコーディングに関する資料

以下の資料をご用意しております。ご希望の方は、資料請求フォームからお問合せください。

【資料】

Java対応静的解析・単体テストツール Jtestに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ソフトウェアエンジニアリング事業部

    03-4405-7853

メールでのお問い合わせ
parasoft-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。