Azbil SecurityFriday公式サイトはこちら

無償版はこちら




ウエブテイスターは、ウェブアプリケーションの統合(結合)テスト、受入検査等で、テスト設計から、テストの実施、結果報告までを支援するブラウザ(ソフトウェア)です。

ウェブシステムの特長は、従来のクライアントサーバシステムとは異なり、ユーザ側にアプリケーションを持たず、複数ユーザがそれぞれウェブアプリケーションにアクセスする都度、ユーザ側の状態を確認、アクセス許可判断がされ、ページデータがユーザに送信されるマルチユーザインタフェースです。また、「戻る」ボタン等、ウェブブラウザ独特の操作や、ハングアップへの対処のため、ページ遷移前のデータの保持がされています。ブラウザとウェブアプリケーション間では、各ユーザの状態を把握するためにユーザが意識しないデータが常に保持、送信、管理されています。
そのため、ウェブアプリケーションの評価においては、従来のアプリケーションで実施されてきた入力値テスト以外に、ブラウザからウェブアプリケーションに送信されるデータが消える、化ける、他ユーザのものと入替る等々、送信データ(送信フォーム)のテストが重要になります。(詳細はホワイトペーパーをご参照ください)


<WebTasterの特長>
  • 完成したアプリケーションに対し、ハッカー視点のブラックボックステストが可能
  • 専用の評価環境無しに、インターネットエクスプローラベースの標準ブラウザ環境でブラウザに表示されない隠しパラメータやクッキーを含む送信データの書換えテストが可能
  • SSL暗号化された送信データも簡単に書換えテストが可能
  • 評価シートの作成から、テストの実施、結果報告までの一連の評価作業を支援
  • SQLインジェクションなどのWEB脆弱性の自己診断にも威力を発揮






■メインウィンドウ
上:インターネットエクスプローラ相当のウェブブラウザ
下左:ナビゲーションやテストの実行状況などを表示します
下右:表示ドキュメントのCookieの値を随時表示します

 


1.テスト設計支援
  • 送信されるデータ(フォームデータ)の項目をCSV形式で保存可能。
  • ブラウジングをしながらブラウザからの入力項目、送信データ項目をリストアップ。
  • クッキーのデータもCSV形式で保存可能です。


  ブラウザからの送信データ出力(csv)例
 

2.テスト実施支援
  • ブラウザ上での入力値テスト(有効値・無効値)
  • ブラウザからの送信データ(クッキー含む)書換えテスト


  ◆送信データ書換えの仕組み
  WebTaster(tm)は、以下の流れで評価を行います。
   @ ブラウザから送信されるフォームデータをフックし
   A フォームデータ内の任意のデータをテストデータに書換え
   B 書換えたデータをウェブサーバに送信
   C ウェブアプリはBのレスポンスとしてhtmlを送信する
   D その結果のブラウザ表示をWebTaster上で確認できます





   送信データ書換えウィンドウ例



3.テスト結果報告支援
  • 一連の評価作業および実行結果は、ログファイルに記録されます。
  • レスポンスのHTMLおよびクッキーは個別ファイルに保存し、評価試験の結果として保有できます。

  検査ログ例
 


ウェブアプリケーションの脆弱性を狙ったSQLインジェクションやセッションハイジャック等のハッキング手法に対するセキュリティ診断が必要です。ウエブテイスターでは、あらかじめ代表的なSQLインジェクションパターンを搭載しています。送信データ書換テストで利用すれば、基本的なセキュリティ診断が可能です。



また、セキュリティアドオンソフトSQL Picker(*)と組合せることで、より確実なセキュリティ診断が行えます。

(*)SQL Piker:ウェブアプリケーションからデータベースに送信されるパケットをキャプチャし、SQLコマンドをモニタリングできるWebTasterのアドオンソフトウエア。WebTasterの送信データ書換えテストで、データベースの改ざんや情報漏えいにつながるSQLインジェクションなどのテストデータを送信し、その結果としてデータベースに送信されるSQLコマンドを確認することで、より確実なウェブアプリケーションのセキュリティ診断を実現します。


  • 対応DB(Oracle/SQLServer/MySQL)
    ※ウエブサーバとDBサーバ間の通信が暗号化されている場合は対応できません




1. ウェブアプリケーションの評価者
  ・品証部門による統合(結合)評価
  ・ウェブサイト発注元による受け入れ検査
2. ウェブアプリケーション開発者
  ・ルーチン開発都度の動作確認・デバッグ
  ・ウェブサーバとの連携評価テスト
  ・セキュリティホール・テスト
3. 業務システム・監査部門
  ・インターネットサーバのセキュリティ自己診断
  ・社内ウェブシステムのセキュリティチェック

・無償版はこちら
・販売パートナーはこちら
・ネットでのご購入はVecter 
*セキュリティ調査会社様等に提供している『フルアクセス版』に関して多数のお問合せをいただいておりますが、『フルアクセス版』の試用をご希望の企業様は、以下問合せ先までご連絡ください。



WebTasterに関するお問い合わせは以下弊社窓口まで

アズビル セキュリティフライデー株式会社 営業部
Tel:0466-26-5666

e-mail:sales@securityfriday.com
http://www.securityfriday.com/jp/

Copyright(c) 2009 SecurityFriday Co.,Ltd.All rights reserved.