ウェブアプリケーション侵入テストについて
ウェブアプリケーション侵入テスト(ペネトレーションテスト)は、インターネットに接続されているシステムに対し、実際に攻撃を実施して、脆弱性が無いか確認するテストです。
実際に攻撃をして再現性を確認するため、意図せずデータが更新されたり、削除される場合があります。 テストする場合は、必ず本番環境とは別にテスト環境を用意し、テスト環境に対して実施しましょう
また、テストを実施することで、大きな負荷がかかる場合が多く、ホスティングサービスによっては、テストに制限をかけている場合があります。 ご利用のホスティングサービスの利用規約をよく確認してからテストを実施してください。
代表的なクラウドサービスについては、以下のリンクを参照してください。
メリット
システムの環境に合わせてテストを設計し、テスト環境に対して侵入テストを試みますので、 安全かつ具体的な調査が可能 です。
開発時には気づかなかった脆弱性が発見される場合も多く、より堅牢なシステムを運用できます。
デメリット
テストの実施に際し、対象のシステム及びセキュリティについての高度な知識が必要になります。
OWASP ZAP など、自動探索でテストするツールもいくつかありますが、自動でテスト可能な範囲は十分とは言えず、手動探索を組み合わせる必要があります。
よって、テストのコストが高額になり、時間もかかる傾向にあります。