JP6942277B1 - セキュリティテストシステム - Google Patents
セキュリティテストシステム Download PDFInfo
- Publication number
- JP6942277B1 JP6942277B1 JP2021055127A JP2021055127A JP6942277B1 JP 6942277 B1 JP6942277 B1 JP 6942277B1 JP 2021055127 A JP2021055127 A JP 2021055127A JP 2021055127 A JP2021055127 A JP 2021055127A JP 6942277 B1 JP6942277 B1 JP 6942277B1
- Authority
- JP
- Japan
- Prior art keywords
- transition
- screen
- security
- specified
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
Description
本発明の一実施の形態であるセキュリティテストシステムは、アプリケーションやシステムの開発段階において、その開発工程の中の一工程として、開発者や開発チームが独自に「セキュリティテスト」を実施することを可能とする情報処理システムである。
図1は、本発明の一実施の形態であるセキュリティテストシステムの構成例について概要を示した図である。セキュリティテストシステム1は、例えば、サーバ機器やクラウドコンピューティングサービス上に構築された仮想サーバ等によりサーバシステムとして構成されたセキュリティテストサーバ3と、各開発者がそれぞれ使用するパーソナルコンピュータ(PC)等の情報処理端末であるユーザ端末2とからなり、これらが図示しないインターネットやVPN(Virtual Private Network)、LAN(Local Area Network)などのネットワークを介して相互に接続される構成を有する。
図2は、本発明の一実施の形態におけるセキュリティテストのユースケースの例について概要を示した図である。検査対象の画面(URL)に対するセキュリティテストを実施するためには、検査対象の画面に実際に遷移する必要がある。本実施の形態では、まず、ユーザは、ブラウザ20の拡張機能である遷移記録部21により、検査対象の画面に至るまでのブラウザ20上での操作をレコード(記録)することで、画面遷移の情報を登録する(S1)。一度登録した遷移情報は、他のユーザも含めて繰り返し再利用することができる。
図3は、本発明の一実施の形態における遷移シナリオの管理の例について概要を示した図である。上述の図2のステップS1においてブラウザ20の遷移記録部21によりレコードされた画面遷移の情報について、本実施の形態では、図3の左側の図に示すように、遷移中の各画面をノードとし、画面間の遷移をエッジとした有向グラフ(遷移グラフ)として表現し、グラフDB37に登録して保持する。このとき、例えば、「1」→「2」→「3」→「4」の経路の遷移と、「1」→「2」→「5」→「4」の経路の遷移における「1」、「2」、「4」のノードのように、複数のレコード結果において共通する画面については同一のノードにマージして表す。これにより、遷移した画面について遷移グラフ上のリンク(経路)をたどって当該画面をノードとして追加する(レコードする)ことで、リンク網が大きくなり、到達可能な検査対象のURLが増えていくことになる。
本実施の形態では、複数のユーザがそれぞれ個別に行った複数のスキャンの結果について、対象のURL、指定したパラメータ、および検知された脆弱性の組み合わせを単位として、同様の結果があった場合でもこれらをマージすることで、一元的に管理する。これにより、各ユーザは、それぞれが小さい単位でスキャンを繰り返していたとしても、自身が行ったスキャンの結果も含めて開発チーム全体の検査結果の状況を把握することができる。
本実施の形態では、セキュリティテストサーバ3のUI処理部31によりブラウザ20に表示される画面(UI)として、SPA(Single Page Application)として実装され、主に複数の情報の一覧的な表示や、各種の設定を行う画面を表示するメインUIと、ブラウザ20の拡張機能により、主に一覧から選択された個別の事項の詳細な情報や、画面遷移の記録に係る内容を表示するサブUIを有する。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部または全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、またはICカード、SDカード、DVD等の記録媒体に置くことができる。
20…ブラウザ、21…遷移記録部、
31…UI処理部、32…基盤機能部、33…シナリオ管理部、34…遷移再現部、35…診断処理部、36…テナント管理部、37…グラフDB、38…診断データDB、39…ユーザDB
Claims (4)
- アプリケーションにおけるセキュリティの脆弱性の有無を検査するセキュリティテストシステムであって、
ユーザによるブラウザ上での前記アプリケーションに対する操作により発生するリクエスト/レスポンスの情報を含む画面遷移の情報を記録する遷移記録部と、
複数のユーザによりそれぞれ記録された前記画面遷移の情報をマージした遷移グラフをグラフ記録部に遷移シナリオとして記録するシナリオ管理部と、
前記遷移シナリオの内容に従って前記アプリケーションに対してリクエストを送信する遷移再現部と、
前記遷移再現部により送信されたリクエストを取得して、指定された脆弱性の検査パターンに従って当該リクエストの内容を改変して前記アプリケーションに対して送信し、前記アプリケーションから受信したレスポンスの内容に基づいて前記指定された脆弱性の有無を検査する診断処理部と、を有し、
前記診断処理部は、
検査結果に対してユーザから指定されたコメントを当該検査結果に関連付けて記録し、
同一の検査対象の画面に対する複数のユーザによる検査結果について、リクエストにおけるパラメータの内容と、検知された脆弱性の組み合わせの単位で、検査結果の状況の遷移に基づいて、検査結果を1つにマージし、診断データ記録部に記録する、セキュリティテストシステム。 - 請求項1に記載のセキュリティテストシステムにおいて、
前記シナリオ管理部は、前記遷移グラフ中においてユーザに指定された、画面遷移の中途のものも含む検査対象の画面に対して、前記遷移グラフ上での前記検査対象の画面に至る最適経路に基づいて生成した画面遷移の情報を遷移シナリオとして出力する、セキュリティテストシステム。 - 請求項1又は2に記載のセキュリティテストシステムにおいて、
前記診断処理部は、
同一の検査対象の画面に対する複数の検査結果のうち、最初の第1の検査結果において、前記指定された脆弱性が検知された場合に、検査結果を前記指定された脆弱性が検知された旨を示す第1の状況とし、その後の第2の検査結果において前記指定された脆弱性が検知されなかった場合に、検査結果を前記指定された脆弱性が解消したか否かを確認中である旨を示す第2の状況とし、その後の第3の検査結果において前記指定された脆弱性が検知されず、解消したことが確認された旨の指定がされている場合に、検査結果を前記指定された脆弱性に対する対応が完了した旨を示す第3の状況とする、セキュリティテストシステム。 - 請求項1ないし3のいずれか1項に記載のセキュリティテストシステムにおいて、
前記遷移記録部は、
前記ブラウザの拡張機能として構成される、セキュリティテストシステム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021055127A JP6942277B1 (ja) | 2021-03-29 | 2021-03-29 | セキュリティテストシステム |
JP2021145656A JP2022153237A (ja) | 2021-03-29 | 2021-09-07 | セキュリティテストシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021055127A JP6942277B1 (ja) | 2021-03-29 | 2021-03-29 | セキュリティテストシステム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021145656A Division JP2022153237A (ja) | 2021-03-29 | 2021-09-07 | セキュリティテストシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6942277B1 true JP6942277B1 (ja) | 2021-09-29 |
JP2022152374A JP2022152374A (ja) | 2022-10-12 |
Family
ID=77847063
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021055127A Active JP6942277B1 (ja) | 2021-03-29 | 2021-03-29 | セキュリティテストシステム |
JP2021145656A Pending JP2022153237A (ja) | 2021-03-29 | 2021-09-07 | セキュリティテストシステム |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021145656A Pending JP2022153237A (ja) | 2021-03-29 | 2021-09-07 | セキュリティテストシステム |
Country Status (1)
Country | Link |
---|---|
JP (2) | JP6942277B1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2023094338A (ja) * | 2021-12-23 | 2023-07-05 | エムオーテックス株式会社 | 脆弱性診断装置、脆弱性診断装置の制御方法および脆弱性診断プログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007172517A (ja) * | 2005-12-26 | 2007-07-05 | Mitsubishi Electric Corp | 脆弱性判定システム及び監視装置及び検査装置及びコマンド文字列監視プログラム |
JP2008299540A (ja) * | 2007-05-30 | 2008-12-11 | Five Drive Inc | Webサービス提供システム検査装置及びWebサービス提供システム検査プログラム |
WO2014132386A1 (ja) * | 2013-02-28 | 2014-09-04 | 国立大学法人京都大学 | 関係性グラフデータベースシステム |
JP2016038627A (ja) * | 2014-08-05 | 2016-03-22 | Kddi株式会社 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
-
2021
- 2021-03-29 JP JP2021055127A patent/JP6942277B1/ja active Active
- 2021-09-07 JP JP2021145656A patent/JP2022153237A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007172517A (ja) * | 2005-12-26 | 2007-07-05 | Mitsubishi Electric Corp | 脆弱性判定システム及び監視装置及び検査装置及びコマンド文字列監視プログラム |
JP2008299540A (ja) * | 2007-05-30 | 2008-12-11 | Five Drive Inc | Webサービス提供システム検査装置及びWebサービス提供システム検査プログラム |
WO2014132386A1 (ja) * | 2013-02-28 | 2014-09-04 | 国立大学法人京都大学 | 関係性グラフデータベースシステム |
JP2016038627A (ja) * | 2014-08-05 | 2016-03-22 | Kddi株式会社 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2023094338A (ja) * | 2021-12-23 | 2023-07-05 | エムオーテックス株式会社 | 脆弱性診断装置、脆弱性診断装置の制御方法および脆弱性診断プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2022153237A (ja) | 2022-10-12 |
JP2022152374A (ja) | 2022-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10402301B2 (en) | Cloud validation as a service | |
Molyneaux | The art of application performance testing: from strategy to tools | |
Gallaba et al. | Use and misuse of continuous integration features: An empirical study of projects that (mis) use Travis CI | |
Barbour et al. | An empirical study of faults in late propagation clone genealogies | |
Chen et al. | Understanding and discovering software configuration dependencies in cloud and datacenter systems | |
US11275580B2 (en) | Representing source code as implicit configuration items | |
US10152367B2 (en) | System dump analysis | |
US20100017427A1 (en) | Multilevel Hierarchical Associations Between Entities in a Knowledge System | |
US9672139B2 (en) | Debugging in a production environment | |
Frantz et al. | A cloud‐based integration platform for enterprise application integration: A Model‐Driven Engineering approach | |
JP6942277B1 (ja) | セキュリティテストシステム | |
JP5968451B2 (ja) | 計算機システム、及びプログラム | |
Pillai | Software architecture with Python | |
Laznik et al. | Context aware exception handling in business process execution language | |
Bhargava | Designing and Implementing Test Automation Frameworks with QTP | |
Raab et al. | Unified Configuration Setting Access in Configuration Management Systems | |
Mosser et al. | Visualizing and assessing a compositional approach of business process design | |
Butler et al. | The use of formal methods in the analysis of trust (position paper) | |
Alves | Software defined applications: a DevOps approach to monitoring | |
KR102602534B1 (ko) | 시스템 온 칩 설계 검증을 위한 테스트 자동화 시스템 및 방법 | |
Waseem et al. | Understanding the Issues, Their Causes and Solutions in Microservices Systems: An Empirical Study | |
Serban et al. | BaseHub Platform for Monitoring IoT Devices | |
Cosmina et al. | Monitoring Spring Applications | |
Velozo et al. | Evaluation of a Mobile Software Development Company | |
Zhylenko | Development of a methodology for using microservice architecture in the construction of information systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210329 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210329 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210702 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210729 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210823 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210907 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6942277 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |