脆弱性診断とかを何とかする
Webサービスの開発に携わっている方なら、脆弱性診断というのを実施した経験者は多いかと思います。
仕事でやっているなら、大抵はITセキュリティ専門の会社と契約して、専門家や専用のツールを使って診断をしてもらって、診断結果や修正が必要な場合は、その修正方法も含めた内容をレポートしてもらうというのが一般的かと思います。
普通の会社なら、当たり前ですが、そこまでお金だせない会社とか、個人で開発していた場合にどうすればよいのか考えてみたことがあります。
もちろん、SQLインジェクションやXSSとか、CSRF等々、ひとつひとつ手作業で確認すればなんとかなるのかもしれませんが、さすがに無理ですよね。
ということで、個人で使えるツールないかなーと探してみると、IPAのサイトにそれらしいことが・・・
なるほど、こちらを見ると、Java用とPHP用でソースコードレベルの検査を実施するツールの検証が行われています。
- LAPSE+(Java用)
(参考)
- RIPS(PHP用)
ちなみに、このブログで何度も出てくる「超直訳(β)」は、PHPで書かれているので、今度こちらで実際にどうなるかを試してみたいと思います。
(つづく。。。)