EC-CUBE Penetration Testing with OWASP ZAP

はじめに

Attention!! このツールは、サイトを実際に攻撃し、脆弱性が無いかを確認するツールです。 必ずローカル環境の Docker でのみ使用し、稼動中のサイトには決して使用しないでください。 意図せずデータが更新されたり、削除される場合があります。
テストは自己責任で実施し、株式会社イーシーキューブ及び、関連する開発コミュニティは一切の責任を負いかねますのであらかじめご了承ください。

手っ取り早くテスト環境を作成したい方のために Quick Start をご用意しました。

このドキュメントは、EC-CUBE のリリース前に実施しているセキュリティテストを横展開し、より多くのユーザーに利用してもらうことを目的に作成しています。 単なる手順書のみではなく、テストに対する考え方、改善方法なども含まれています。

ここで使用する OWASP ZAP は、とても強力なツールですが、 十分にテストするためには、EC-CUBE 特有の問題を乗り越える必要があります。 テストの結果、セキュリティの欠陥が発見されなかったとしても、テストが不十分で検出されなかった可能性もあります。

テスト結果のみを過信せず、専門家への調査依頼も併用すると、より強固なセキュリティ環境が構築できます。

イントロダクション

セキュリティテストについて

OWASP ZAP について

テスト計画

テストの実施

テスト評価

セキュリティの改善