PR

 ソフテックは11月17日,Webアプリケーションの欠陥を検査するツール「WebProbe」を発表した。特徴は,セッション管理の検査に特化していること。セッション管理に関するチェック項目は既存の検査ツール製品よりも多く,ライセンス料金も既存製品より安価であるという。ただし,クロスサイト・スクリプティングやSQLインジェクションといった他の欠陥は検査できない。製品の利用ライセンス料金は1カ月で9万8000円から。発売開始は12月1日。併せて同社は,WebProbeを使った検査サービス「WebサイトOne-Shot」も開始する。料金は1サイトあたり25万円から。

 WebProbeの使用方法は次の通り。まずパソコン上でWebProbeを起動して,調べたいWebアプリケーションが稼働するサイトのURLを指定する。その後,正当なアカウントでサイトにログインし,WebProbeの指示に従って,サイト内のページを行き来するだけでよい。具体的には,「個人情報(氏名や住所,クレジット・カード番号など)が表示されるページ」「プライバシに関する情報(購入履歴など)が表示されるページ」「任意のページ」の順に閲覧するよう指示される。

 その間やり取りされる情報をWebProbeは収集し,セッション管理に使われている方法(CookieやHiddenタグなど)を特定する。そして,その方法で使用されているパラメータなどが適切かどうかをチェックする。例えば,「認証せずにログインできないか」「Cookieに含まれるユーザーIDが推測可能ではないか」「ユーザーIDを盗聴される恐れはないか」――などを検査する。検査項目は20程度。検査終了後,問題点が改善策とともにリストアップされる。

 検査に際して,不正なアクセスはほとんど行わないため,「現在稼働しているサイトを止めずに検査できる」(ソフテック ネットワークソリューション部長 芝田幸彦取締役」という。

 ライセンス料金はWebProbeの利用期間によって異なる。3カ月で28万5000円,1年で95万円など。期間内なら何回利用してもよい。

 同社はWebProbeを使った検査サービス「WebサイトOne-Shot」も開始する。サービス実施前にヒアリングを行い,WebProbeを使う際の適切な設定を決める。検査実施後は,問題点やその修正方法に関する報告書をユーザーに提出する。

◎参考資料
Webアプリケーションのセッション管理の欠陥を簡単な操作で検出・検証するツール【WebProbe】を発売

(勝村 幸博=IT Pro)