MasaoApril's Library.

Software Testingなネタを書いてみた。

セキュリティテストを知るための情報源

 テストで発見したいリスクとして、「セキュリティ」があります。特に不具合でシステムが破壊されたり、機密情報が盗用されて顧客の信頼を失い、収益が無くなると企業として維持することは難しくなりますので、開発者もテスターもセキュリティについて知恵を身につける必要があります。

 私が担当するプロジェクトで「不具合をきっかけに悪用されるシーン」が金銭的損害が大きいというリストを考えました。そして、何に着目してどのようにテストを行うかを知る必要がありました。

そして、たどり着いたのが"OWASP(Open Web Application Security Project)"でした。

OWASP(Open Web Application Security Project)

 公式サイト:https://www.owasp.org/

上記は英語サイトですが、OWASP Japanローカルチャプターのサイトがあり(限定的ですが)日本語で情報収集できます。

OWASP Testing Guide

 私が最近参考にしているのは、"OWASP Testing Guide v4"です。書籍もありますが、OWASP Testing Guide v4(PDF版)OWASP Testing Guide v4(Wiki版)から内容を閲覧できます。
 なお、OWASP Testing Guide v3(日本語版)もありますが、内容が古いので参考程度に。

取り敢えず具体的な事を知りたい

 4.Web Application Penetration Testingに数多くの内容がありますので、必要なところだけ読んでみるとよいです。また、Appendix A: Testing Toolsの情報を確認するとよいです。私が関わったプロジェクトで、"OWASP ZAP"脆弱性診断を行い、脆弱性が内在しないか確認しました。