Webアプリケーションの浸透テストとは何ですか?
Webアプリケーション浸透テストは、攻撃または悪用中にインターネットベースのプログラムがどのように動作するかを測定するために設計されたアクティビティです。これらのテストでは、さまざまなソフトウェアプログラムを使用してアプリケーションをスキャンし、実際の攻撃中に発生する可能性のあるさまざまなアクションを実行します。 Webアプリケーションの普及テストは、開発チームまたはサードパーティサービスプロバイダーによって実行できます。外部プロバイダーが使用されている場合、開発チームまたは情報技術(IT)スタッフは、経営陣によるテストを通知されない場合があります。これにより、Webアプリケーションの侵入テストが気付かれない可能性のある欠陥を明らかにすることができます。これにより、ソフトウェアのリリース前にこれらの問題を修正することができます。
Webアプリケーションは、インターネット上でアクセスして実行できるソフトウェアパッケージです。これらのアプリケーションは多くの機能を実行でき、場合によっては、プライベートまたは価値があると見なされるデータの処理を担当します。するために攻撃の妥協を避けると、通常、コード内の弱点または簡単に搾取された領域を見つけるために浸透テストが実行されます。
典型的なWebアプリケーション浸透テストは、情報収集フェーズから始まります。このステップの目的は、アプリケーションに関する多くの情報を可能な限り決定することです。リクエストをアプリケーションに送信し、スキャナーや検索エンジンなどのツールを使用することにより、後でエクスプロイトを見つけるためによく使用されるソフトウェアバージョン番号やエラーメッセージなどの情報を取得することがよくあります。
十分な量の情報が蓄積された後、Webアプリケーションの浸透テストの次の目標は、さまざまな攻撃とエクスプロイトを実行することです。場合によっては、最初のフェーズで収集された情報は、アプリケーションが脆弱である可能性があるエクスプロートを識別します。明らかな脆弱性が検出されなかった場合、あらゆる攻撃とエクスプロイトを試みることができます。
多くの異なる技術的脆弱性は、Webアプリケーションの浸透テストによって見つけることができます。これらのテストは通常、ユニバーサルリソースロケーター(URL)操作、セッションハイジャック、構造化クエリ言語(SQL)インジェクションなどの方法を使用してアプリケーションに分割しようとします。また、バッファオーバーフローまたはアプリケーションを異常に動作させる可能性のある他の同様のアクションを開始する試みがあるかもしれません。これらの攻撃またはエクスプロイトのいずれかがアプリケーションに侵入テスターに機密データを明らかにする場合、通常、推奨される行動方針とともに欠陥が報告されます。