情報処理推進機構(IPA)は18日、WebサイトのSQLインジェクションの脆弱性を検出するツールを無料公開した。
独立行政法人 情報処理推進機構(IPA)は18日、WebサイトのSQLインジェクションの脆弱性を検出するツール「iLogScanner」を公開した。IPAのサイトから無料で入手できる。
同ツールは、利用者のWebブラウザ上で実行するJavaアプレット形式のプログラムで、Webサーバのアクセスログの中から攻撃に頻繁に用いられる文字列を検出し、Webサイトへの攻撃頻度や攻撃成功の可能性などをチェックする。
ツールによりWebサイトへの攻撃が確認された場合は、Webサイトの開発者やセキュリティベンダーへ相談を行うという流れを想定している。また、簡易ツールという性質上、攻撃が検出されなかった場合でも脆弱性の検査を実施するよう薦めている。
近年、Webサイトを狙ったSQLインジェクション攻撃が急増している一方、専門性の壁により一般のWebサイト運営者の対応は困難だった。IPAはこうした状況に対応するべく簡易ツール「iLogScanner」を開発するに至ったと説明している。
現在はSQLインジェクションのみ検出可能だが、今後クロスサイト・スクリプティングやOSコマンド・インジェクションなど、対応範囲を拡大していく予定だ。
【関連リンク】
・「ウェブサイトのSQLインジェクション脆弱性の検出ツール」を公開(プレスリリース)
この記事は参考になりましたか?
- この記事の著者
-
