テスト対象

本テストは、アプリケーション(EC-CUBE)に依存する範囲が対象となります。

テスト対象

  • アプリケーション(EC-CUBE)に依存する範囲
  • OWASP ZAP のリリース版検査項目のうち以下が対象
    • CSRF
    • XSS
    • パラメータ・タンパリング
    • OSコマンドインジェクション
    • サーバーサイドコードインジェクション
    • SQLインジェクション
    • Format String Error
    • 外部リダイレクト
    • パス・トラバーサル
    • リモートファイルインジェクション

テスト対象外

Note: EC-CUBEをリリースする際のテストでは対象外ですが、実運用に向けてのテストでは実施した方が良いものもあります。各プロジェクトのポリシーに合わせてご検討ください。

  • ディレクトリ露出
  • サーバーサイドインクルード
  • バッファーオーバーフロー
  • Webサーバーやミドルウェア、PHPに対する脆弱性攻撃
  • Webサーバーやミドルウェア、PHPに対する設定不備
  • DoS
  • パスワードなどの総当たり攻撃

OWASP ZAP でテストできないもの

  • 認証の権限に対するテスト
  • EC-CUBEの設定不備に対するテスト