セキュリティ・トップ  ›  当社開発ソフトウェア製品  ›  セッション管理診断WebProbe™

WebProbe™診断機能の概要

 

WebProbe™診断機能の概要

 世界初のセッション脆弱性診断アプリケーションWebProbe™は、セッションに特化した診断を自動で安全に行います。セッション追跡パラメータの推定に基づいて、20項目以上の診断を実施し、ユーザが診断結果を修正に反映しやすい形でレポートします。Webアプリケーション診断のノウハウを凝縮したWebProbe™の主な診断機能・特徴は以下のとおりです。

セッション追跡パラメータを自動推定

 セッション管理の脆弱性診断においては、「セッション追跡パラメータ」として何が使われているのかを特定する作業が肝要となりますが、WebProbe™ は、その自動推定を実現しました。従来の診断では、診断担当者が手作業で分析していたため、診断の精度が担当者のスキルに大きく依存してしまっていました。WebProbe™を使えば誰でも簡単な操作で高水準の診断を実施できます。

セッション追跡パラメータを自動推定

20 項目を超える脆弱性を診断

 セッション追跡パラメータの推定に基づいて、「アクセス制御の欠如」「ユーザ識別の欠如」「ID空間の小さすぎるセッション追跡パラメータ」「暗号化されないアクセスにセッション追跡パラメータが含まれる」「セキュアでないcookie の使用」など、20 項目を超える数の脆弱性を診断し、詳細な解説とともに問題点をリストアップします。

WebProbe™の診断項目一覧は、こちらをご覧ください。

詳細へ
脆弱性検出状況一覧

不正なアクセスを伴わない診断

 最初の診断コースでは、正規の手順で Web アプリケーションを利用する際の通信内容を分析するだけで、ある程度の範囲の脆弱性を検出します。不正なアクセスを一切生じないため、実稼動中のサイトに対してであっても、安心して診断できます。

自動的な診断アクセスによる検証

 より精度の高い診断のため、リクエストの一部を書き換えた診断用のアクセスをWebProbe™から自動的に発生させることで、残りの脆弱性を検出します。このときも、値を差し替える程度の変更しか行わず、従来のスキャン方式の診断ツールに見られるような、破壊的な異常データの送信を行うことはありません。

診断担当者の手間を大幅に軽減するマーキング

 セッション管理の脆弱性診断では、個人情報を表示する一つひとつの画面について、アクセス制御が正しく行われているかを確かめる必要があります。従来の診断では、セッション追跡パラメータを特定した後、アクセスリクエストを手作業で書き換えて試し、結果を目で確認する必要がありました。これは大変手間のかかる作業でした。WebProbe™を使えば、Web ブラウザを操作して個人情報の画面にアクセスするだけで、診断の必要なページが自動的にマーク付けされ、自動的に診断が実行されます。画面が個人情報を含むか否かは、登録キーワードとのマッチングにより自動判断されます。自動判断できない画面について手動でマーク付けすることもできます。

診断担当者の手間を大幅に軽減するマーキング

不適切な設計の指摘

 「異なるセッションで同一セッション追跡パラメータ の使用」や「永続的 cookieの使用」「ログアウト後のサーバセッションの残存」「クレジットカード番号の表示」など、致命的な欠陥とまでは言えないものの、改善の余地のある不適切な設計についても、問題点を指摘します。

不適切な設計の指摘

その他の機能

セッションデータの収集

 ユーザが診断サイトにアクセスした際のセッション管理における脆弱性を分析するための情報として、ログインからログアウトまでの間のセッションデータを収集を行います。

ユーザに対する操作ガイド

 脆弱性を検出するために必要な情報を確実に収集するために、Webサイト内でアクセスが必要なページを具体的にユーザへ指示、誘導します。

ユーザに対する操作ガイド

3種類の診断コース

 セッションデータの収集範囲が異なる3種類の診断コースを設定。目的に応じて、簡易的な診断から複数の収集データを使った詳細診断までを選択可能です。

3種類の診断コース
 
おすすめコンテンツ ソフテック診断サービスの特長 ソフトウェア開発力 選べる診断サービス ドキュメント・報告書 初めてのセキュリティ診断 診断に対するご質問と回答 FAQ フテックの診断アフターケア ご相談・資料請求
セキュリティホール情報とリスク管理ユーティリティ SIDfm SID警告センター