Spring フレームワークと Hibernate ORM を使用して Web アプリケーションを開発しています。アプリケーションのセキュリティに関する限り、acegi を使用して認証と承認のサポートを提供しています。
ユーザー入力のサニテーションについては、XSS や sql インジェクションなどの攻撃に注意を払うようにしました。データベースの更新とクエリには、準備されたステートメントと休止状態の基準をできるだけ多く使用しようとしました。JavaScript の入力もサニタイズされます。
これらをテストするために、 Firebug、Tamper IE、Fiddler2などのツールを使用しようとしました。
また、 Watch Mouseなどのツールを使用して脆弱性テストを実施しました。
Web アプリケーションのセキュリティに利用できるその他のツールと、Web アプリケーションのセキュリティ テストを開始する前に考慮すべき事項は何ですか。
ありがとうございます
HP には Webinspect というセキュリティ評価ツールがありますが、無料ではないのでお勧めしません。私の会社はその使い方を知らないか、ツールの脆弱性を見つけるのに一貫性がありません。
サイトの脆弱性を探すために、実際の侵入テスト契約代理店を雇うほうがよいでしょう。もちろん、自動スキャナーを実行することはできますが、実行できるのはそれだけです。適切な侵入テストを学習して実装しようとすると、おそらくより多くのお金とリソースを浪費することになり、他の誰かを雇ってそれを実行することになります。
この質問をしているという事実は、商用アプリケーションが起動する前に必要となるような自信や完全なカバレッジを提供する資格がないことを意味します。
AppScan を使用できますが、無料ではありません。
あなたが今最高の結果を望むなら、私はあなたに外部の侵入テスト会社に目を向けるようにあなたに勧めた人々に同意します。
そうは言っても、私が使用した最高のオールラウンドWebアプリペネトレーションツールの1つは、Burp Suite(portswigger.net)です。ほとんどの機能を提供する無料バージョンがありますが、脆弱性スキャナーと状態を保存する機能を追加するProバージョンに400ドルを投資することは、それだけの価値があります。
さらに、OWASP組織(owasp.org)と、それらがWebアプリのセキュリティに利用できるようにする情報/ツールについてよく理解しておく必要があります。チートシートとテストガイドは、それらの使用方法を知っている場合に非常に役立ちます。
最後に、独自のアプリケーションセキュリティチームを編成することを決定した場合は、アプリケーションセキュリティの豊富な経験とソフトウェア開発のバックグラウンドを持つ人材を採用することを検討する必要があります。アプリケーションのセキュリティには、セキュリティテスト以上のものがあります。静的セキュリティコード分析と脅威モデリングは、考慮すべき他の領域の2つにすぎません。
Burpsuite は、Web アプリケーションのテストに最適なツールです。
ただし、外部チームを雇うことには同意しますが、あなたの会社ができない/しない場合は、週末を使って BurpSuite に慣れてください。間違いなくいくつかのバグが見つかります。