受け入れテスト用セキュリティチェックリスト for Webアプリケーション



発注したWebアプリケーションの開発が終わって、納品されたときにやっておくべきセキュリティチェックの為のリストです。個人情報の漏洩やサービスの一時停止、Webアプリケーションの不正使用をされないためにも是非ともこのチェックを行ってください。

なおこの情報はあくまで受け入れテストやQAテストの際に使用するための物です。絶対に自分が管理していないアプリケーションに対して使用しないでください。使用した場合は不正アクセスとなり、犯罪です。決して悪用しないでください。


1.テスト用ツール

以下のツールを使用してセキュリティチェックを行います。使い方については付属するマニュアルをご覧ください。

2.セキュリティチェック項目

textやhiddenといったInputタグ、Selectタグ、Cookie、Refererヘッダー等から送られるデータにテスト文字列を入れてテストを行います。

これらのテストは最悪の場合、暴走してサービスが停止する可能性があります。あくまでこのテストは受け入れテストかQAテストでのみ使用してください。

なお、このチェックはあくまで簡易的な物です。これにパスしたからといって安全とは限りません。その点を注意して運用を行ってください。

このようなテストを自動化できるツールを作成しました。詳しくはこちら

最後にいろいろアイデアをいただきましたopenmyaMLのみなさまに感謝いたします。


第1版 2005年11月1日 作成 第1.5版 2007年10月10日 修正
Ikeda Masakazu
ゲストブックへ
Secure Coding に入ろう!
FreeML  メールアドレス