「検査ツール仕様」の編集履歴（バックアップ）一覧はこちら

「検査ツール仕様」(2006/11/24 (金) 18:11:06) の最新版変更点

追加された行は緑色になります。

削除された行は赤色になります。

<h2>設定機能</h2>
<ul>
<li>ファイルフォーマット</li>
<li style=
"list-style-type: none; list-style-image: none; list-style-position: outside;">
<ul>
<li>XMLで記述する。</li>
<li>
ファイルは設定用ファイルと、検査用シグネチャファイルの二つを使用する。</li>
</ul>
</li>
</ul>
<ul>
<li>設定ファイル(Configuration File)</li>
<li style=
"list-style-type: none; list-style-image: none; list-style-position: outside;">
<ul>
<li>ツールの挙動を制御するファイル</li>
<li>設定項目については別途記述<br></li>
</ul>
</li>
</ul>
<ul>
<li>シグネチャファイル(Signature File)</li>
<li style=
"list-style-type: none; list-style-image: none; list-style-position: outside;">
<ul>
<li>検査用シグネチャを記述するファイル</li>
<li>設定項目</li>
<li style=
"list-style-type: none; list-style-image: none; list-style-position: outside;">
<ul>
<li>シグネチャ名</li>
<li>シグネチャ識別名<br>
シグネチャが使用するクラスモジュール名<br></li>
<li>検査文字列</li>
<li>検証文字列</li>
<li>脆弱性名</li>
<li>脆弱性説明</li>
<li>脆弱性対策</li>
</ul>
</li>
</ul>
<ul>
<li>
<h3>実装予定機能</h3>
</li>
<li style=
"list-style-type: none; list-style-image: none; list-style-position: outside;">
<ul>
<li>
＜脆弱性＞タグの中に、複数の各＜シグネーチャ＞タグを入れる。<br>
</li>
</ul>
</li>
</ul>
</li>
</ul>
<hr size="2" width="100%">
<h2>検査仕様</h2>
<ul>
<li>巡回機能<br></li>
<li style=
"list-style-type: none; list-style-image: none; list-style-position: outside;">
<ul>
<li>ブラウザのProxyとして働く。</li>
<li>ブラウザでWebアプリの巡回を行う。</li>
<li>
「レコード」ボタンをクリックしてから「停止」ボタンをクリックするまでに発生したリクエストを一時的に保存する。</li>
<li>このうち、除外する拡張子のものは保存しない。<br></li>
<li>GUIで操作を行う(GUIにはEclipseを使用?)</li>
<li>「検査」ボタンで、後述の検査機能を実施する。</li>
<li>
巡回を開始するとき、以前の巡回の続きも選べるようにする。</li>
</ul>
</li>
</ul>
<ul>
<li>検査機能</li>
<li style=
"list-style-type: none; list-style-image: none; list-style-position: outside;">
<ul>
<li>
巡回機能で巡回した手順を、1つのテストケースですべて実施する。</li>
<li>
巡回機能で巡回した複数の手順から1つを選べるようにする。</li>
<li>
各テストケースでは、1つのリクエストの１つのパラメータのみ、シグネチャファイルの検査文字列に変更して、リクエストを実施する。</li>
<li>
テストケースのリクエストに対するレスポンスを全て記録する。</li>
<li>
脆弱性の有無はシグネチャファイルの検証文字列が存在していることをベースとする。</li>
<li>
検査用APIを公開し、これを用いて脆弱性の判断モジュールが作成できるようにする。</li>
</ul>
</li>
</ul>
<hr size="2" width="100%">
<h2>レポート機能</h2>
<ul>
<li>検査結果表示機能</li>
<li style="list-style: none">
<ul>
<li>検査の結果を一覧で表示する。</li>
<li>一覧表示する項目は別途記述する。</li>
<li>
テストケースを選択すると、脆弱性の詳細、対策内容、脆弱性のある箇所の詳細が表示されるようにする。</li>
<li>
テストケース選択時、「レスポンス表示」ボタンをクリックすることで、レスポンス表示機能を実行する。<br>
</li>
</ul>
</li>
<li>レスポンス表示機能</li>
<li style="list-style: none">
<ul>
<li>検査のレスポンスは全てファイルに保存しておく。</li>
<li>
レスポンス表示機能では、保存したレスポンスファイルを巡回順にブラウザに表示出来るようにする。<br>
</li>
</ul>
</li>
</ul>
<hr size="2" width="100%">
<h2>要望機能</h2>
<ul>
<li>
検査結果から、手動で誤報の確認が出来るインタフェースが欲しいなぁ</li>
</ul>

<h2><a href=
"http://www21.atwiki.jp/ikepyon/?page=%E8%A8%AD%E5%AE%9A%E6%A9%9F%E8%83%BD">設定機能</a></h2>
検査ツールの設定に関する機能<br>
<hr width="100%" size="2">
<h2><a href=
"http://www21.atwiki.jp/ikepyon/?page=%E6%A4%9C%E6%9F%BB%E6%A9%9F%E8%83%BD">検査仕様</a></h2>
Webアプリケーションのセキュリティ検査を実施する機能<br>
<hr width="100%" size="2">
<h2><a href=
"http://www21.atwiki.jp/ikepyon/?page=%E3%83%AC%E3%83%9D%E3%83%BC%E3%83%88%E6%A9%9F%E8%83%BD">
レポート機能</a></h2>
検査結果をレポート表示する機能<br>