Home > セキュリティ > ウェブサイトの脆弱性の検出ツールiLogScanner

ウェブサイトの脆弱性の検出ツールiLogScanner

独立行政法人 情報処理推進機構(略称:IPA)が、ウェブサイトのSQLインジェクションの脆弱性を検出するツールを公開しています。

情報処理推進機構:情報セキュリティ:ウェブサイトの脆弱性の検出ツール

 近年、ウェブサイトを狙ったSQLインジェクション攻撃が急増しており、ウェブサイトの情報の改ざんや、非公開情報が公開されるなど深刻な被害が発生しています。
 このため、ウェブサイト運営者は、自組織が管理しているウェブサイトがどれほどの攻撃を受けているのか、またウェブサイトが受けた攻撃によって被害が発生していないか、常に状況を把握し対策を講ずることが必要です。

 しかし、ウェブサイトを狙った攻撃を把握するには、専門的なスキルが必要であるため、自組織内で専門のセキュリティ技術者を育成するか、有償のセキュリティ監視サービスを受ける必要があるなど、一般のウェブサイト運営者にとって容易ではありません。

 そこで、IPAでは、ウェブサーバのアクセスログの中から、ウェブサイトの攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかを検出する簡易ツール「iLogScanner」を開発しました。
  現在、検出できるものはSQLインジェクションのみですが、今後、クロスサイト・スクリプティングやOSコマンド・インジェクションなど、順次拡大していく予定です。

 なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。
 また、iLogScannerは簡易ツールであり、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。

脆弱性の検出ツールと言っても、隠れた脆弱性を探し出すツールという訳ではなく、アクセスログを解析して、危険な攻撃と思われる痕跡を確認することが出来るようです。

このツールによって、攻撃が成功したことが分かるようになるとのことですが、その時点で既に問題が発生しているのですから、事前に対策を行うことは当然必要になります。
また、攻撃が成功しなかったからといって、脆弱性が無いという保証にもなりません。
あくまでアクセス解析の補助ツールという意味合いで使うと良いと思います。

現状では、SQLインジェクションのみに対応しているようなので、まだまだこれからといった感じですが、こういったツールを導入することにより、セキュリティに対する意識を少しずつ高めていくことが大事だと思います。

Comments:0

Comment Form

Trackbacks:0

TrackBack URL for this entry
http://magicbox.sakura.ne.jp/mt/mt-tb.cgi/623
Listed below are links to weblogs that reference
ウェブサイトの脆弱性の検出ツールiLogScanner from 10年戦える開発技術

Home > セキュリティ > ウェブサイトの脆弱性の検出ツールiLogScanner

Search
Feeds
Tag Cloud
Recommend

SQLパズル 第2版 プログラミングが変わる書き方/考え方
SQLパズル 第2版 プログラミングが変わる書き方/考え方

ソフトウェアアーキテクチャ―ソフトウェア開発のためのパターン体系
ソフトウェアアーキテクチャ―ソフトウェア開発のためのパターン体系

ITアーキテクト vol.1
ITアーキテクト vol.1

オブジェクト指向における再利用のためのデザインパターン
オブジェクト指向における再利用のためのデザインパターン

増補改訂版 Java言語で学ぶデザインパターン入門
増補改訂版 Java言語で学ぶデザインパターン入門

増補改訂版 Java言語で学ぶデザインパターン入門 マルチスレッド編
増補改訂版 Java言語で学ぶデザインパターン入門 マルチスレッド編

J2EEデザインパターン
J2EEデザインパターン

アンチパターン―ソフトウェア危篤患者の救出
アンチパターン―ソフトウェア危篤患者の救出

世界でいちばん簡単なネットワークのe本―ネットワークとTCP/IPの基本と考え方がわかる本
世界でいちばん簡単なネットワークのe本―ネットワークとTCP/IPの基本と考え方がわかる本

Return to page top