Hiroshi Okunushi's Blog ☆ミ : 【IIS7】 [HOW TO] 無償の簡易 Web 負荷ツール WCATの使い方

セキュリティ

WCATというWebサーバの負荷テストツールだそうです。

無償のツールとして以前はWAST(Web Application Stress Tool)という名前のものがあったり、Visual Studio 2003に付属のApplication Center Testなどが簡易的に使えるツールとして注目されていました。もちろんTCP/IPのポートをどのように使うかなどかなりの制御を行いたい場合にはもっと他の有償(しかも普通かなり高価)ツールが必要なのですが、単純に環境のベンチマークをしたり、比較を簡易的に行いたい場合にはこの辺りの無償ツールが役に立つわけです。今回ご紹介するWCAT(Web Capacity Analysis Tool)はWindows開発部門のパフォーマンス部隊やIISの開発チームが実際に負荷かけに使用しているもので無償でご提供しているツールの割に結構使えると思います。

シナリオファイルとかが重要だったりするんだろうねぇ。このあたり作るの楽しそうだなぁ。。。

2. wcat.wsf  terminate  run  clients {comma separated client list}  t {scenario file}  f {settings file}  s {name of the Web Server}  singleip -x を実行する

サイト脆弱性をチェックしよう!--第4回:開発工程におけるレビューやテストのコツ(その2):スペシャル - ZDNet Japan

セキュリティ

やまがた21さん経由

コードレビューとテストキタ━━━━(゚∀゚)━━━━ !!!!!

各開発工程におけるレビューと適切なテストについてを紹介する。

データフローを確認して、処理を鳥瞰するそうです。

コードレビューでは、まずデータフローに注目する。データフローでは特に以下のことを確認してほしい。

  • 入力データが設計段階で規定したパターンのみで構成されているかを確認する処理が適切に実装されているか?
  • 設計段階で規定したエスケープ処理が出力直前に行われているか?
これらの確認を行うには、入力データと出力データを取り扱っているコードを順番にすべて追跡し、適切な処理がなされているかどうかを確認する。

サニタイズ言うな対策w

先にも述べているが、多くの脆弱性は入力データの検証と出力時のエスケープ処理を適切に行うことで防ぐことができる。適切にこれらの処理を実装するには、設計の段階で、正しい入力データの条件と、データの出力先アプリケーションの仕様を確認し、明確にしておく必要がある。

●エラー処理が適切になされているか?
●ループなどの処理で境界となる条件に間違いはないか?
●同時に処理が発生した場合にファイルへのアクセスなどに影響が無いか?

記事で紹介されている間違ったコードは間違って見えるようにする (Joel Spolsky氏)はネ申の記事ですね

このルールをもう少し拡張して、Request関数やEncode関数をリネームして(あるいはラップして)、UsRequestやSEncodeという名前にすることもできる・・・言い換えると、安全でない文字列を返す関数や安全な文字列を返す関数に、変数と同様、それぞれUsとSで始まる名前を付けるのだ。コード例で見てみよう。

テスト

脆弱性は意図していない動作をしてセキュリティ上の問題を発生させることなので、脆弱性の確認のためのテストでは、異常系の確認を行うことが主となる。先に述べたように、入力データの内容によってアプリケーションの動作をある程度制御できる。

あくまでもサンプルってことですよね>フォローw

脆弱性の確認テストでは入力データに想定していなかったデータを使用するか、想定していないタイミングでページを呼び出す以下のようなチェックを行う。

あくまでも入力データのテスト内容ですね。

想定していないデータ種類のテスト

  • 数値項目に英字や記号を入れるなどのテストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

メタキャラクタのテスト

  • 「'」「"」「<」「>」「&」「;」「|」「\」など特別な意味を持つデータを入力するテストを実施。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

選択肢以外のデータのテスト

  • ラジオボタンチェックボックス、セレクトリストで指定している選択肢以外のデータを入力するテストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

Hiddenフィールド、Cookie書き換えテスト

  • Hiddenフィールド、Cookieを他の値に書き換えるテストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

非常に大きな桁数のデータのテスト

  • 通常10桁程度しかないパラメータに1000桁のデータなどを入れるテストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

境界値前後のテスト

  • たとえば、0〜100の値をとる項目に対し、「-1,199,101」といったデータを入力するテストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

非常に大きな数字、非常に小さな数字のテスト

  • 数値項目に99999999999999999999、-99999999999999999999、0.0000000000000001、-0.0000000000000001といったデータを入力する**テストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

パラメータの削除のテスト

  • 正常なリクエスト時に送信されるパラメータを削除するテストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

パラメータ値削除のテスト

  • 正常なリクエスト時に送信されるパラメータの値を削除するテストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

呼び出しのテスト 処理フローを無視した呼び出し

  • たとえば、画面遷移が「ページA」→「ページB」→「ページC」という処理で、ページAにアクセスした直後にページCへアクセスするテストを実施する。
  • 設計どおりの処理(エラー処理など)がされているかを確認する。

同時呼び出し

  • 異なるユーザーで同時にログインしてみるなど、異なるユーザーで同時に同じ処理を行うテストを実施する。
  • 同時に行った処理が別の処理として行われているかを確認する。

YES SIer 5!!!w

これらは、アプリケーション開発で当たり前にやるべきことだ。しかし、実際の現場ではこれらが行われていないことが多い。実際にこれらすべてのチェックを実施しようとすると、現在の短納期での開発では工数がかかりすぎてしまうため、現実的ではない。
そのような場合でも、少なくとも、異常系のテストを十分に行うことで、存在する脆弱性をリリース前に発見し、修正することで安全なアプリケーションを提供することが可能になる。

月周回衛星「かぐや」、本日10時31分打ち上げ成功(動画) : Gizmodo Japan(ギズモード・ジャパン)

雑記

かぐや@H-IIAの打ち上げYouTubeですです。

私もみたいーーーーっ!

一生に一度でいいから、生で打ち上げ見てみてー!(魂の叫び)

アナウンサーの言葉。すげぇーーー

ここまで衝撃が伝わってきます!!!

脆弱性対策情報データベース「JVN iPedia」の登録件数が4,000件突破: - まっちゃだいふくの日記★とれんどふりーく★での個人別JVN登録件数集計を出してみました。

セキュリティ

JVNへの報告が4000件を越えたと言うことですが、製品の脆弱性報告では、福森さんがダントツトップです。

知った人がいっぱいいらっしゃりますねw
順位 件数 氏名
1 47 福森 大喜
2 14 高木 浩光
3 8 HASEGAWA Yosuke
4 8 太田 良典
5 6 山崎 圭吾
6 5 吉野 友人
7 5 佐名木 智貴
8 5 新井 悠
9 5 大岩 寛
10 4 HIRT (Hitachi Incident Response Team)
11 3 hoshikuzu
12 3 ヤマガタ
13 3 杉山 俊春
14 3 西山 和広
15 3 田中 哲
16 2 Eiji James Yoshida
17 2 安西 真人
18 2 鵜飼 裕司
19 2 奥 一穂
20 2 関 将俊
21 2 新井 幹也
22 2 赤嶺 徳治
23 2 竹井 明
24 2 辻 伸弘
25 2 藤原 将志
26 2 堂前 清隆
27 2 野口 勇
28 2 野田 陽
29 1 Isaac Dawson
30 1 IIJ-SECT (IIJGroup Security Coordination Team)
31 1 NTT OSS CENTER
32 1 Yutaka Kokubu
33 1 すけだいよしゆき
34 1 伊藤 公樹
35 1 井口 義己
36 1 王磊
37 1 岡田 潤
38 1 加藤 泰文
39 1 株式会社ラック
40 1 佐々木悠
41 1 佐川 昭宏
42 1 若居 和直
43 1 松本 達弥
44 1 石川 芳浩
45 1 太田和夫
46 1 大前 潤
47 1 谷口 智也
48 1 鈴木 毅
49 1 兒島 尚
50 1 國廣昇

組織別も出してみたが、どこの組織も2名程度のHackerによる報告が多いんですね。

セキュアスカイ・テクノロジーが福森氏、新井氏の2名であり
産業技術総合研究所については、高木氏、大岩氏、田中氏(部署は違うが)3名により報告されている
株式会社 ビジネス・アーキテクツも、吉野氏、太田氏によるものである。
株式会社ラックは山崎 圭吾氏、 新井 悠 氏の2名
我らが、webappsec.jpについては、HASEGAWA Yosuke 氏、Yutaka Kokubu 氏、ヤマガタ 氏となっているw
順位 件数 組織名
1 49 株式会社セキュアスカイ・テクノロジー
2 22 産業技術総合研究所
3 20 個人
4 13 株式会社 ビジネス・アーキテクツ
5 13 株式会社ラック
6 8 webappsec.jp
7 5 インターナショナル・ネットワーク・セキュテリィ株式会社
8 4 HIRT (Hitachi Incident Response Team)
9 4 電気通信大学
10 3 NTTデータ・セキュリティ株式会社
11 3 まっちゃ139
12 3 株式会社シマンテック
13 2 www.druby.org
14 2 サイボウズ・ラボ株式会社
15 2 株式会社インターネットイニシアティブ
16 2 三井物産セキュアディレクション株式会社
17 2 東京工業大学
18 1 (株)フォティーンフォティ技術研究所
19 1 eEye Digital Security
20 1 IIJ-SECT (IIJGroup Security Coordination Team)
21 1 NTT OSS CENTER
22 1 NTTME ネットワークサービス事業本部
23 1 penetration technique research site
24 1 WIDE プロジェクト
25 1 チームチドリ
26 1 株式会社オープングルーヴ
27 1 株式会社富士通研究所
28 1 独立行政法人 情報処理推進機構
29 1 有限会社キメラワークス 
30 1 有限会社テクノバース

パターンアップ-4.725.00

TREND パターン

Trendmicroのパターンがアップしました。

パターン番号:4.725.00

イエローアラート:WORM_SKIPI.A
アップデート理由:定期アップデート
新規対応
 特筆なし
亜種対応
 特筆なし