セキュリティ・トップ  ›  当社開発ソフトウェア製品  ›  セッション管理診断WebProbe™

WebProbe™ソフトウェアの機能と特長

 

サーバやネットワークに負荷がかからない WebProbe™ の動作方式

 WebProbe™の動作イメージを以下に示します。スキャン型診断ツール(XSS, cgi等の脆弱性診断ツール)とは異なり、必要最小限のアクセスのみによる診断のため、サーバやネットワークに負荷を与えません。運用開始後のWebサイトに対して、定期的に診断することも可能です。

  • ユーザはWebProbe™からの指示に従いWebサイトにアクセス
  • ブラウザからはプロキシ機能経由で診断サイトにアクセス
  • ログインからログアウトまでのリクエスト/レスポンスを記録
  • 記録したデータを元にセッション管理における欠陥を検出・検証
サーバやネットワークに負荷がかからない WebProbe™ の動作方式

唯一のセッション管理の脆弱性、欠陥検出ツール

 セッション管理の欠陥を検出、診断する業界初のツールです。他に同じ機能を持つツールは存在しません(2006/4月現在,当社調べ)。セッション管理の問題点のチェック用途と共に、いち早くWebProbe™を導入することで、診断サービス等の新規ビジネス提案の道具として有効利用できます。

  • スキャン系診断ツール(AppScan/WebInspect 等)では検出できない 「セッション管理系の欠陥」 を世界で唯一検出可能
  • 従来、手作業で行わざるをえなかった「セッション追跡パラメータ(=セッションID)」の推定を自動化
唯一のセッション管理の脆弱性、欠陥検出ツール

20項目を超える脆弱性の検出と詳細な解析、問題点の指摘

 20項目を越えるセッション管理の脆弱性を診断し、詳細な解説と共に問題点をリストアップします。また、診断担当者のスキルに大きく依存してしまう手作業による各種パラメータ正当性確認作業などをWebProbe™は、自動推定、確認を行うことで、誰が実施しても高水準な診断品質を保つことができます。

  • 推定した「セッション追跡パラメータ」を基に、20項目を超える脆弱性を診断し、詳細な解説とともに問題点をリストアップ
  • 改善の余地のある不適切な設計に関する問題点も指摘
20項目を超える脆弱性の検出と詳細な解析、問題点の指摘

GUI、操作ガイドに従った診断(診断のノウハウを手続化)

 WebProbe™による診断操作画面の一例を以下に示します。従来、手作業によってのみ発見することが可能であった複雑なセッション管理の問題点を簡単な操作で特定することが出来ます。その結果、問題点の検出、診断を迅速かつ効率的に行えます。診断するための操作は、「操作方法のガイダンス表示」を参考にしながら、操作ボタンを押すことで作業を進行できます。Webアプリケーションを開発する人だけではなく、発注者側の成果物の検収目的で使用する場合でも、一連の操作を完了することで診断結果が表示されますので、容易に脆弱性の確認ができます。また、現在、運用中のWebサイトの脆弱性の有無を確認する場面でも、容易く利用できます。

GUI、操作ガイドに従った診断(診断のノウハウを手続化)
 
おすすめコンテンツ ソフテック診断サービスの特長 ソフトウェア開発力 選べる診断サービス ドキュメント・報告書 初めてのセキュリティ診断 診断に対するご質問と回答 FAQ フテックの診断アフターケア ご相談・資料請求
セキュリティホール情報とリスク管理ユーティリティ SIDfm SID警告センター