ソフテック、高木浩光氏と共同開発したセッション管理自動検証ツール(impress.co.jp)。
WebProbeは、ログイン時のCookieや、HTML内のhiddenパラメータなどから「セッション追跡パラメータ」を推定し、そのセッション追跡パラメータを基に20項目を超える脆弱性を検査する。検査は、異なるIDでログインするなど数回試行することにより、より精度が上がるという。検査結果は、脆弱性の詳細な解説とともに問題点もリストアップされる。
98,000円/月と高いけど。
私は実はどんなセッション管理が悪くてどんなセッション管理がいけないのか、判別方法ってよくわかってない。既知の情報からセッション情報のCookieなりその他のパラメータを別ノードで計算できたら乗っ取れるというのはわかるんだけど、他にもたくさんあるんだろうな。
それから、セキュリティに関して思うのは、パスワードシステムってもう限界じゃないかな。全部のアプリにssh-agentと通信して認証してほしい、と無謀なことを思わせるほど。ユーザは大量のパスワードにうんざりしている。
(追記) 2003-11-19 07:45
Webアプリケーションの検査テクニック(1)(atmarkit.co.jp)、
Webアプリケーションの検査(2)(atmarkit.co.jp)、
Webアプリケーションの検査(3)(atmarkit.co.jp)などが参考になるのかな。要は推測できるか否かにかかっているのではないか。