View on GitHub

digg-pages_ja

ネット上の有用なページ for ソフトウェア開発/プログラミング

受け入れテスト用セキュリティチェックリスト for Webアプリケーション

Author: いけぴょん Link: 受け入れテスト用セキュリティチェックリスト


受け入れテスト用セキュリティチェックリスト for Webアプリケーション


発注したWebアプリケーションの開発が終わって、納品されたときにやっておくべきセキュリティチェックの為のリストです。個人情報の漏洩やサービスの一時停止、Webアプリケーションの不正使用をされないためにも是非ともこのチェックを行ってください。

なおこの情報はあくまで受け入れテストやQAテストの際に使用するための物です。絶対に自分が管理していないアプリケーションに対して使用しないでください。使用した場合は不正アクセスとなり、犯罪です。決して悪用しないでください。


1.テスト用ツール

以下のツールを使用してセキュリティチェックを行います。使い方については付属するマニュアルをご覧ください。

2.セキュリティチェック項目

textやhiddenといったInputタグ、Selectタグ、Cookie、Refererヘッダー等から送られるデータにテスト文字列を入れてテストを行います。

テスト文字列:

|hoge
%7Choge
"|hoge
%22%7Choge
'|hoge
%27%7Choge
&hoge
%26hoge
"&hoge
%22%26hoge
'&hoge
%27%26hoge

結果:
500 Internal server errorと表示されたら、Webサーバーでコマンド実行ができる可能性があります。開発元にコマンド実行ができないか確認しましょう。

これらのテストは最悪の場合、暴走してサービスが停止する可能性があります。あくまでこのテストは受け入れテストかQAテストでのみ使用してください。

なお、このチェックはあくまで簡易的な物です。これにパスしたからといって安全とは限りません。その点を注意して運用を行ってください。

このようなテストを自動化できるツールを作成しました。詳しくはこちら

最後にいろいろアイデアをいただきましたopenmyaMLのみなさまに感謝いたします。


第1版 2005年11月1日 作成 第1.5版 2007年10月10日 修正