技術部の津野田です。 昨今、Webアプリケーションに対するセキュリティ診断の内製化の動きが活発になっています。 本日より、当社のお仕事が減らない程度に、セキュリティ診断の内製化に役立つ情報をざっくばらんに不定期発信して行く予定です。 第一回目は、内製化の際に多く利用されるWebアプリケーション脆弱性診断ツール(以下、脆弱性診断ツール)の実力を、さらに引き出すためのコツについてお話したいと思います。 なお、本稿では特定の製品に関するご案内はしていません。 具体的な設定手順や方法などについては、脆弱性診断ツールのマニュアルをご確認ください。 はじめに まずは、Webアプリケーションにおける代表的な脆弱性を、 一般的な脆弱性診断ツールによる検出の得手不得手で分類してみました。 比較的得意な分野 XSS(反射型) プラットフォーム上の問題 ケースによっては得意な分野 XSS(格納型、DOMベース)