source":"Web Application Security Testing Tools","target":"Webアプリケーション セキュリティ テストツール
デジタルサービスに依存する組織にとって、Webアプリケーションのセキュリティ ベストプラクティスに従うことが不可欠です。これには、Webサイトとアプリの脆弱性を定期的かつ継続的にテストすることが含まれます。 セキュリティテストにより、組織は攻撃者による悪用を受ける前にWebアプリの脆弱性を早期に特定・修正できるほか、導入済みのセキュリティメカニズムや管理策が実際の環境下で意図通りに機能しているかを圧力テストして確認できます。
このブログ投稿を読んで、Webアプリケーションセキュリティテストの主なカテゴリと、それぞれの適切なタイミングや方法を理解しましょう。 Webアプリのセキュリティテストツールの例を紹介し、Webアプリのセキュリティに関するベストプラクティスについて解説します。 最後に、実践的なアドバイスとガイダンスを備えた便利なWebアプリセキュリティチェックリストを掲載しています。
ウェブアプリケーションのセキュリティテストの種類
ウェブには主に3つの種類がありますアプリケーション セキュリティテスト。 静的アプリケーション セキュリティ テスト(SAST)はソースコードの分析を通じて脆弱性を特定します。一方、動的アプリケーション セキュリティ テスト(DAST)は、アプリケーションが稼働している間に外部の攻撃対象領域(通常はクライアント側やフロントエンド)をスキャンし、脆弱性をテストします。 侵入テスト(一般的にペンテストと呼ばれます)では、サイバーセキュリティの専門家がリアルタイムの攻撃をシミュレートし、潜在的なセキュリティの弱点をより深く理解します。
静的アプリケーション セキュリティ テスト(SAST)」
SASTは、プログラムを実行せずにアプリケーションのコードベースを分析し、ソフトウェア開発ライフサイクルの早い段階で既知の脆弱性やコーディングの欠陥を特定します。そのため、アプリケーションを本番環境に展開する前に問題を発見できる最適な手法です。 SASTによって検出される一般的な脆弱性には、データが割り当てられたメモリバッファを超えるバッファオーバーフローがあり、これによりクラッシュやコードの不正実行が引き起こされる可能性があります。 また、SQLインジェクションの脆弱性も検出可能です。これは、サニタイズされていない入力をデータベースクエリに使用し、攻撃者がデータを操作したりアクセスしたりできる攻撃です。 さらに、クロスサイトスクリプティング(XSS)も検出できます。これは、悪意のあるスクリプトが他のユーザーが閲覧するWebページに注入される攻撃です。
DASTとは異なり、SASTツールは通常、開発ライフサイクルの早い段階で実行され、セキュアコーディングプラクティスが遵守されていることを確認し、エラーの修正が容易な時点で検出します。 ペンテストとは異なり、SASTは一般的に自動化ツールを使い、人間の介入を最小限に抑えながら実行され、多くの場合、継続的インテグレーションと継続的デリバリー(CI/CD)プロセスの一環として行われます。
SASTツールは言語固有であるため、プログラミング言語をサポートするツールを確実に選択してください。 オープンワールドワイドアプリケーションセキュリティプロジェクト(OWASP)は、包括的なSASTツールのリストを維持しています。
動的アプリケーションセキュリティテスト(DAST)」
DASTは、アプリケーションの実行中に分析を行い、ソースコードでは見つからない実行時の脆弱性を特定します。 DASTは、特定の環境条件下でのみ現れる構成依存の脆弱性を検出し、APIやデータベース、サードパーティサービスなどの外部システムとのやり取りによるセキュリティリスクを明らかにします。 また、入力操作の改ざんやセッションの不正利用など、悪意のあるまたは予期しないユーザーの行動によって引き起こされる脆弱性も検出可能です。
SAST とは異なり、DAST ツールはアプリケーションが本番環境で稼働した後に、開発ライフサイクルの後半で実行されます。 DAST は通常、ソース コードにアクセスせずにクライアント側から調査やテストを行い、脆弱性を見つけて悪用しようとする攻撃者を模倣します。 DAST はステージングや本番環境に近い環境で問題を特定するのに特に有効で、SAST などのコードレベルのテスト手法を補完します。 また、DAST は自動化ツールによって最小限の人間の介入で実行され、CI/CD プロセスの一環として継続的に稼働するため、ペンテストとは異なります
F5はF5 Distributed Cloud Web App Scanningを通じてDASTタイプのソリューションを提供し、自動的にクロール、検出、マッピングを行うことで、公開されているWeb資産の正確なインベントリを作成し、ドメイン全体のアプリケーションとサービスのセキュリティを簡素化します。 自動侵入テストを実行し、一般的な脆弱性と露出(CVEs)や古いソフトウェアなどの既知の脆弱性だけでなく、OWASPトップ10やLLMトップ10の脅威を含む未知の脆弱性も特定します。 この積極的なアプローチにより、Web資産の包括的な保護を確実にします。 OWASPは長年にわたりDASTツールのリストを維持しています。
侵入テスト
侵入テストは、経験豊富なサイバーセキュリティの専門家が行う手動のセキュリティ評価であり、洗練された現実世界の攻撃をシミュレートしてアプリケーション、システム、ネットワークの脆弱性を特定し、悪用します。 ペンテストは、攻撃者がどのように弱点を悪用できるかと、その潜在的な影響を明らかにすることで、組織のセキュリティ体制に関する貴重な洞察を提供します。
ペンテストは、ビジネスロジック攻撃など、自動化ツールでは見つけにくい高度で複雑な脅威を明らかにするのに特に効果的です。これらはアプリケーションの意図された機能やプロセスを悪用します。 また、攻撃者が個人を操作して不正アクセスや情報を得ようとするソーシャルエンジニアリング攻撃の可能性も特定できます。
SAST や DAST とは異なり、侵入テストはほとんどの組織でスケジュールに基づいて実施します。 このテストは、予算やセキュリティ要件に応じて、年1回、四半期ごと、または月ごとに行われることが多いです。
侵入テストでは、ドメインの外部攻撃サービスをマッピングし、潜在的な脆弱性を識別する Webアプリケーションスキャナーなど、さまざまな専門ツールを活用して攻撃をシミュレートし、組織のデジタル環境全体の潜在的な脆弱性を明らかにします。 テストには、ネットワークトラフィックを監視および分析して不正なアクティビティやデータ漏洩の兆候を検出するネットワークスニファーや、ブラウザと組織のWebサーバー間のトラフィックを傍受して検査し、安全でないデータ転送などの問題を特定するWebプロキシも含まれます。 パスワードクラッキングツールは、パスワードハッシュの強度や不適切に保存された資格情報の安全性をテストします。
Burp Suiteなどの一部の専門的なテスト製品は包括的なペンテストツールのセットを提供しますが、ほとんどのペンテスターは各作業に最適なさまざまな専門ツールを使い分けています。 いくつかのツールは「自動侵入テスト」を提供すると主張し、手動のペンテストよりもコストを抑えた代替手段を提案しますが、予算が許す範囲でサイバーセキュリティの専門家に定期的に包括的な手動侵入テストを実施してもらうことも重要です。また、その一方で、自動化された継続的なテストソリューションと組み合わせることで、手動テストの間のギャップを埋めることも推奨します。
さらに、F5は無料のWebアプリスキャンを提供しており、あらゆる組織のWebアプリケーションのセキュリティ状況を評価し、改善するための第一歩として役立ちます。 このインタラクティブな取り組みにより、あらゆるドメインの可視性を得られ、セキュリティ防御を強化するための優れた基盤となります。
source":"Web application security testing best practices","target":"Webアプリケーションのセキュリティテストのベストプラクティス
選択したウェブアプリケーションのセキュリティテストツールの効果を最大限に引き出すために、これらのベストプラクティスを確実に守ってください。
ソフトウェア開発ライフサイクル全体にセキュリティテストを統合し、脆弱性を早期かつ頻繁に発見します。
- テスト手法とツールの組み合わせを活用し、包括的なカバレッジを実現するとともに、死角を減らします。
- CI/CDパイプライン内で継続的なテストを自動化し、コード変更のたびに一貫したセキュリティ チェックを行います。
- 定期的に徹底的な侵入テストを実施し、巧妙化した脅威や見落としがちなリスクを発見します。
- 一般的なコーディングエラーから複雑な攻撃ベクトルまで、OWASP APIのトップ10や最新の脅威を含む幅広い脆弱性を検出できるセキュリティテストツールとプロセスの能力を確認します
Webアプリケーションセキュリティテストチェックリスト
以下は、SAST、DAST、侵入テストのいずれを使用していても、Webアプリのセキュリティテスト中に確認すべき情報や脆弱性の種類をまとめた便利なチェックリストです。 詳細については、OWASP Webアプリケーション セキュリティ テストガイドを参照してください。Webアプリのセキュリティ テストに関する段階的な手順を詳しく解説した包括的なリソースです。
| カテゴリ | source":"Descripton","target":"説明 |
|---|---|
| source":"Information gathering","ja":"情報収集 |
Webアプリケーションのフレームワーク、エントリーポイント、実行経路をマッピングし、検索エンジンやWebコンテンツ、メタファイルを通じた情報漏洩のリスクを特定します。 |
| 構成と展開の管理 | ネットワークとアプリケーション プラットフォームの構成、HTTP メソッド、コンテンツ セキュリティ ポリシー、およびファイルアクセス権をテストします。 |
| アイデンティティ管理 | 役割定義、アカウントの設定プロセス、ユーザー名ポリシーをテストします。 |
| 認証 | デフォルトの資格情報、認証バイパス、脆弱な認証方法、ロックアウトメカニズム、パスワード変更機能を確実に守る力の観点からテストします。 |
| 認証 | ディレクトリ トラバーサル、セキュリティ上の直接オブジェクト参照の脆弱性、権限昇格、OAuth の弱点を確認します。 |
| source":"Session management","target":"セッション管理 | セッション管理スキーマとクッキー属性を確認し、公開されているセッション変数、セッション ハイジャック、クロスサイトリクエストフォージェリをテストしてください。 |
| source":"Input validation","target":"入力検証 | クロスサイトスクリプティング、データインジェクション(SQLインジェクション、LDAPインジェクション、コードインジェクションなど)、およびサーバー側リクエストフォージェリのテスト。 |
| エラー処理 | エラー処理が攻撃者にAPIの内容を理解させたり、さまざまなサービスの統合をマッピングさせたり、DoS攻撃を引き起こすことがないように確実にします。 |
| source":"Cryptography","target":"暗号化 | 弱いトランスポート層セキュリティ、弱い暗号化、および暗号化されていないチャネルを通じて送信される機密情報のテスト。 |
| source":"Business logic","target":"ビジネスロジック | ビジネスロジックのデータ検証、リクエストの偽造能力、予期しないファイルタイプのアップロード、支払い機能をテストします。 |
| source":"Client side","ja":"クライアント側 | DOMベースのクロスサイトスクリプティング、HTMLおよびCSSのインジェクション、クライアント側のURLリダイレクト、クロスオリジンリソース共有、クロスサイトフラッシュのテストを行います。 |
| API | API偵察を実行し、壊れたオブジェクトレベルの承認をテストします。 |
詳細については、このソリューションの概要をお読みください。