セキュリティ・トップ  ›  当社開発ソフトウェア製品  ›  セッション管理診断WebProbe™

Webアプリケーション脆弱性診断ソフトウェア
WebProbe™

(販売は終了致しました)


WebProbe セッション管理欠陥検出ツール
 

世界初の「セッション管理」脆弱性専用診断ツール

 WebProbe™は、Webアプリケーションにおけるログイン(ユーザ認証)機能を伴う「セッション管理の脆弱性(欠陥)」を簡単な操作で診断するツールです。
WebProbe™は、独立行政法人産業技術総合研究所情報セキュリティ研究センターソフトウエアセキュリティ研究チームの高木浩光氏と弊社が共同研究によりシステムの基本設計を行い、情報処理振興事業協会の2002年度電子政府情報セキュリティ技術開発事業の1つとして採択された事業の成果を製品化したものです。

特 長
  • 世界初の「セッション管理」脆弱性専用診断ツール
  • 技術的なスキルや診断のノウハウを製品化
  • GUI、操作ガイドに従った診断(診断のノウハウを手続化)
  • リーズナブルな提供価格なので、導入しやすい
機能の概要
  • スキャン系診断ツール(AppScan/WebInspect 等)では検出できない「セッション管理系の欠陥」 を世界で唯一検出可能
  • 従来、手作業で行わざるをえなかった「セッション追跡パラメータ」(=セッションID)の推定を自動化
  • 推定した「セッション追跡パラメータ」を基に、20項目を超える脆弱性を診断し、詳細な解説とともに問題点をリストアップ
  • 改善の余地のある不適切な設計に関する問題点も指摘
利用対象
  • Webサイト運営者のための定期的脆弱性チェック
  • Webサイト開発者のアプリケーション開発時の脆弱性チェック
  • Webサイト開発発注者の最終チェック(検収)用途

WebProbe™の位置づけ

WebProbe™の位置づけ

 Webアプリケーションの脆弱性(欠陥)は、クロスサイトスクリティングや SQLインジェクション等の一般的に話題になっているものだけではなく、「セッション管理」に起因するものが存在します。前者の脆弱性は、既存の「スキャン方式ツール」で検出することが可能ですが、セッション管理の脆弱性 は、スキャン方式の診断ツールでは発見できません。WebProbe™は、「セッション管理の脆弱性、欠陥」の検出にフォーカスした診断ツールです。

セッション管理の欠陥は必ず排除すべきか?

 セッション管理の脆弱性、欠陥は、必ず排除すべきでしょう。セッション管理に起因する問題は、SQLインジェクション等の一般的に知られている問題と、同じレベルの脅威を有するものと考えるべきです。不正アクセスの手口が高度になりつつある今、「セッション管理の弱点」を突いた、他人に成りすます不正アクセス行為も増加することが考えられます。しかし、こうした成りすまし等の不正行為の最大の盲点は、正常なアクセスと区別できないことです。「不正アクセスの痕跡」を見つけることができない、あるいは分かりづらいと言うことは、不正アクセスが行われたとしても、気づかないケースが多いということになります。従って、組織は常に、「セッション管理」の安全性を担保する予防的措置が求められます。問題が起きてからでは遅いのです。こう言った意味で、この問題の安全性が保証できていない場合、WebProbe™を使用したセッション管理の脆弱性、欠陥の診断を行うことをお勧めします。

 Webアプリケーションに潜む脆弱性・欠陥を突いた不正アクセスを被ること事態が、組織の情報漏洩のリスクとなります。是非、一度、組織の Webアプリケーションの脆弱性の診断を行ってみてください。

 Webアプリケーションのセキュリティ脅威に対する最近のハッキング傾向について以下に纏めました。今後の必要な対策等、ご理解いただけることと思います。

→Webアプリケーション・セキュリティ 脅威の分類とハッキング統計詳細

 
おすすめコンテンツ ソフテック診断サービスの特長 ソフトウェア開発力 選べる診断サービス ドキュメント・報告書 初めてのセキュリティ診断 診断に対するご質問と回答 FAQ フテックの診断アフターケア ご相談・資料請求
セキュリティホール情報とリスク管理ユーティリティ SIDfm SID警告センター