[セキュリティ]OWASP Testing Project
http://umn.dl.sourceforge.net/sourceforge/owasp/OWASPTesting_PhaseOne.pdf
セキュリティチェックを行うための、設計・開発・配置・運用など各フェーズにおけるチェック方法が載ってる。
しかも最後のツール一覧はええーのう。
- Source Code Analyzer (Open Source)
- Source Code Analyzer (Commercial)
- Fortify http://www.fortifysoftware.com
- Ounce labs Prexis http://www.ouncelabs.com
- GrammaTech http://www.grammatech.com
- ParaSoft http://www.parasoft.com
- ITS4 http://www.cigital.com/its4/
- CodeWizard http://www.parasoft.com/products/wizard/
- Black Box Scanners(Open Source)
- SPIKE http://www.immunitysec.com
- WebScarab http://www.owasp.org
- Paros http://www.proofsecure.com
- Black Box Scanners(Commercial)
- ScanDo http://www.kavado.com
- WebSleuth http://www.sandsprite.com
- SPI Dynamics http://www.spidynamics.com
- Binary Analysis
- BugScam http://sourceforge.net/projects/
- BugScan http://www.hbgary.com
このツール群を見てると、バグ発見ツールもセキュリティチェックの1つとして認識しているなぁ。確かにバグがセキュリティホールにつながることが多いけど、ビジネスロジックのバグは、セキュリティホールって言うより仕様を満たしてないから目的が違うんだよなぁ。でも、ツールとしては重複するから、きっちり分類して考えないといかんね。
でもさぁ。BugScamもBugScanもアクセスできないんだけど・・・