Hiroshi Okunushi's Blog ☆ミ : 【IIS7】 [HOW TO] 無償の簡易 Web 負荷ツール WCATの使い方
WCATというWebサーバの負荷テストツールだそうです。
無償のツールとして以前はWAST(Web Application Stress Tool)という名前のものがあったり、Visual Studio 2003に付属のApplication Center Testなどが簡易的に使えるツールとして注目されていました。もちろんTCP/IPのポートをどのように使うかなどかなりの制御を行いたい場合にはもっと他の有償(しかも普通かなり高価)ツールが必要なのですが、単純に環境のベンチマークをしたり、比較を簡易的に行いたい場合にはこの辺りの無償ツールが役に立つわけです。今回ご紹介するWCAT(Web Capacity Analysis Tool)はWindows開発部門のパフォーマンス部隊やIISの開発チームが実際に負荷かけに使用しているもので無償でご提供しているツールの割に結構使えると思います。
シナリオファイルとかが重要だったりするんだろうねぇ。このあたり作るの楽しそうだなぁ。。。
2. wcat.wsf terminate run clients {comma separated client list} t {scenario file} f {settings file} s {name of the Web Server} singleip -x を実行する
サイト脆弱性をチェックしよう!--第4回:開発工程におけるレビューやテストのコツ(その2):スペシャル - ZDNet Japan
コードレビューとテストキタ━━━━(゚∀゚)━━━━ !!!!!
各開発工程におけるレビューと適切なテストについてを紹介する。
データフローを確認して、処理を鳥瞰するそうです。
コードレビューでは、まずデータフローに注目する。データフローでは特に以下のことを確認してほしい。
- 入力データが設計段階で規定したパターンのみで構成されているかを確認する処理が適切に実装されているか?
- 設計段階で規定したエスケープ処理が出力直前に行われているか?
これらの確認を行うには、入力データと出力データを取り扱っているコードを順番にすべて追跡し、適切な処理がなされているかどうかを確認する。
サニタイズ言うな対策w
先にも述べているが、多くの脆弱性は入力データの検証と出力時のエスケープ処理を適切に行うことで防ぐことができる。適切にこれらの処理を実装するには、設計の段階で、正しい入力データの条件と、データの出力先アプリケーションの仕様を確認し、明確にしておく必要がある。
●エラー処理が適切になされているか?
●ループなどの処理で境界となる条件に間違いはないか?
●同時に処理が発生した場合にファイルへのアクセスなどに影響が無いか?
記事で紹介されている間違ったコードは間違って見えるようにする (Joel Spolsky氏)はネ申の記事ですね
このルールをもう少し拡張して、Request関数やEncode関数をリネームして(あるいはラップして)、UsRequestやSEncodeという名前にすることもできる・・・言い換えると、安全でない文字列を返す関数や安全な文字列を返す関数に、変数と同様、それぞれUsとSで始まる名前を付けるのだ。コード例で見てみよう。
あくまでもサンプルってことですよね>フォローw
脆弱性の確認テストでは入力データに想定していなかったデータを使用するか、想定していないタイミングでページを呼び出す以下のようなチェックを行う。
あくまでも入力データのテスト内容ですね。
想定していないデータ種類のテスト
- 数値項目に英字や記号を入れるなどのテストを実施する。
- 設計どおりの処理(エラー処理など)がされているかを確認する。
メタキャラクタのテスト
- 「'」「"」「<」「>」「&」「;」「|」「\」など特別な意味を持つデータを入力するテストを実施。
- 設計どおりの処理(エラー処理など)がされているかを確認する。
非常に大きな桁数のデータのテスト
- 通常10桁程度しかないパラメータに1000桁のデータなどを入れるテストを実施する。
- 設計どおりの処理(エラー処理など)がされているかを確認する。
境界値前後のテスト
- たとえば、0〜100の値をとる項目に対し、「-1,199,101」といったデータを入力するテストを実施する。
- 設計どおりの処理(エラー処理など)がされているかを確認する。
非常に大きな数字、非常に小さな数字のテスト
- 数値項目に99999999999999999999、-99999999999999999999、0.0000000000000001、-0.0000000000000001といったデータを入力する**テストを実施する。
- 設計どおりの処理(エラー処理など)がされているかを確認する。
パラメータの削除のテスト
- 正常なリクエスト時に送信されるパラメータを削除するテストを実施する。
- 設計どおりの処理(エラー処理など)がされているかを確認する。
パラメータ値削除のテスト
- 正常なリクエスト時に送信されるパラメータの値を削除するテストを実施する。
- 設計どおりの処理(エラー処理など)がされているかを確認する。
呼び出しのテスト 処理フローを無視した呼び出し
- たとえば、画面遷移が「ページA」→「ページB」→「ページC」という処理で、ページAにアクセスした直後にページCへアクセスするテストを実施する。
- 設計どおりの処理(エラー処理など)がされているかを確認する。
同時呼び出し
- 異なるユーザーで同時にログインしてみるなど、異なるユーザーで同時に同じ処理を行うテストを実施する。
- 同時に行った処理が別の処理として行われているかを確認する。
脆弱性対策情報データベース「JVN iPedia」の登録件数が4,000件突破: - まっちゃだいふくの日記★とれんどふりーく★での個人別JVN登録件数集計を出してみました。
JVNへの報告が4000件を越えたと言うことですが、製品の脆弱性報告では、福森さんがダントツトップです。
知った人がいっぱいいらっしゃりますねw
順位 件数 氏名 1 47 福森 大喜 2 14 高木 浩光 3 8 HASEGAWA Yosuke 4 8 太田 良典 5 6 山崎 圭吾 6 5 吉野 友人 7 5 佐名木 智貴 8 5 新井 悠 9 5 大岩 寛 10 4 HIRT (Hitachi Incident Response Team) 11 3 hoshikuzu 12 3 ヤマガタ 13 3 杉山 俊春 14 3 西山 和広 15 3 田中 哲 16 2 Eiji James Yoshida 17 2 安西 真人 18 2 鵜飼 裕司 19 2 奥 一穂 20 2 関 将俊 21 2 新井 幹也 22 2 赤嶺 徳治 23 2 竹井 明 24 2 辻 伸弘 25 2 藤原 将志 26 2 堂前 清隆 27 2 野口 勇 28 2 野田 陽 29 1 Isaac Dawson 30 1 IIJ-SECT (IIJGroup Security Coordination Team) 31 1 NTT OSS CENTER 32 1 Yutaka Kokubu 33 1 すけだいよしゆき 34 1 伊藤 公樹 35 1 井口 義己 36 1 王磊 37 1 岡田 潤 38 1 加藤 泰文 39 1 株式会社ラック 40 1 佐々木悠 41 1 佐川 昭宏 42 1 若居 和直 43 1 松本 達弥 44 1 石川 芳浩 45 1 太田和夫 46 1 大前 潤 47 1 谷口 智也 48 1 鈴木 毅 49 1 兒島 尚 50 1 國廣昇
組織別も出してみたが、どこの組織も2名程度のHackerによる報告が多いんですね。
産業技術総合研究所については、高木氏、大岩氏、田中氏(部署は違うが)3名により報告されている
株式会社 ビジネス・アーキテクツも、吉野氏、太田氏によるものである。
株式会社ラックは山崎 圭吾氏、 新井 悠 氏の2名
我らが、webappsec.jpについては、HASEGAWA Yosuke 氏、Yutaka Kokubu 氏、ヤマガタ 氏となっているw
順位 件数 組織名 1 49 株式会社セキュアスカイ・テクノロジー 2 22 産業技術総合研究所 3 20 個人 4 13 株式会社 ビジネス・アーキテクツ 5 13 株式会社ラック 6 8 webappsec.jp 7 5 インターナショナル・ネットワーク・セキュテリィ株式会社 8 4 HIRT (Hitachi Incident Response Team) 9 4 電気通信大学 10 3 NTTデータ・セキュリティ株式会社 11 3 まっちゃ139 12 3 株式会社シマンテック 13 2 www.druby.org 14 2 サイボウズ・ラボ株式会社 15 2 株式会社インターネットイニシアティブ 16 2 三井物産セキュアディレクション株式会社 17 2 東京工業大学 18 1 (株)フォティーンフォティ技術研究所 19 1 eEye Digital Security 20 1 IIJ-SECT (IIJGroup Security Coordination Team) 21 1 NTT OSS CENTER 22 1 NTTME ネットワークサービス事業本部 23 1 penetration technique research site 24 1 WIDE プロジェクト 25 1 チームチドリ 26 1 株式会社オープングルーヴ 27 1 株式会社富士通研究所 28 1 独立行政法人 情報処理推進機構 29 1 有限会社キメラワークス 30 1 有限会社テクノバース
パターンアップ-4.725.00
Trendmicroのパターンがアップしました。
パターン番号:4.725.00
イエローアラート:WORM_SKIPI.A アップデート理由:定期アップデート 新規対応 特筆なし 亜種対応 特筆なし