FORTIFY Tracer
| FORTIFY Tracer |
| フォーティファイ・トレーサー |
 |
| アプリケーションのバイナリコードを解析し、セキュリティ上の問題を洗い出す検査ツール |
 概要 |
|
|
Javaおよび.NETのユーザーアプリケーションに対応しており、これら言語で開発されたアプリケーションの内部にテストモジュールを自動的に組み込み、通常の機能テストを実施することにより、セキュリティ上の問題を発見、可視化するための動的検証ツールです。従来のペネトレーションテストでは、テストシナリオやスクリプトを作成する手間がかかりますが、Tracerは通常の機能テストでSQL InjectionやCross-Site Scriptingなど約20種類の問題を素早く見つけることができます。
- アプリケーションのコードを自動的に分析し、セキュリティ上重要な部分に防御モジュールを組み込み、攻撃から防御(ガード)します
- アプリケーションのコードを自動的に分析し、脆弱な箇所をTracer自ら判断するため、複雑な設定を必要としません
- 独自にガードルールを追加することができます Web Application Firewall (WAF)と比較して監視するトラフィックが少なくなるため、トランザクションのオーバーヘッドが小さくなります
- J2EEおよび.NETのアプリケーションに対応します。
- ブラウザ経由で、どのような攻撃をいつ受けたのか確認ができます
- 攻撃に関する詳細な解説を提供しています
FORTIFY Tracerのコンソール画面
| 動作原理 |
|
|
FORTIFY Call Site Monitor
FORTIFY TracerはCall Site Montorsという技術を利用し、実行可能な形式のWebアプリケーション内部を分析し、Webとのインターフェース、データベース、ファイル関連の入出力等セキュリティ上の危険が想定される箇所の入力部分(エントリーポイント)と出力部分(エンドポイント)にチェック用のモジュールを自動的に埋め込みます。
チェック用モジュールが埋め込まれたWebアプリケーションをアプリケーションサーバーに配置し、一般的な操作(機能テスト等)を行うことにより、各処理に埋め込まれたチェックモジュールが反応し、処理の経路を調べ、セキュリティ上の問題が潜んでいないかを自動的に確認します。従来であれば、攻撃テスト用のシナリオやスクリプトを作成する作業が必要でしたが、FORTIFY Tracerではその必要がありません。
チェック用モジュールが埋め込まれたWebアプリケーションの問題点を管理するために、Tracerコンソールを通して閲覧を行います。
FORTIFYのセキュリティ研究グループがSCAによる長年蓄積したセキュリティノウハウをTracerに活かしています。セキュリティに関する深い知識が不足している開発プロジェクトも、セキュリティリスクを把握することができます。
| チェック可能なセキュリティ問題 |
|
|
- SQL Injection
- Cross-Site Scripting: Reflective
- Cross-Site Scripting: Persistent
- HTTP Response Splitting
- Privacy Violation: Social Security Number
- Privacy Violation: Credit Card Number
- Unhandled Exception
- Arbitrary URL Redirection
- Command Injection
- LDAP Injection
- Log Forging
- Path Manipulation
- Xpath Injection
| 対応環境 |
|
|
Windows 2000/2003/XP, Linux Red Hat 9, Linux ES 4.0, Linux Fedora, Solaris 8/9, Mac OS X
J2EE 1.3以上, .NET 1.1以上
Tomcat 5.0, 5.5, BEA WebLogic 8.0/9.0, WebShere 6.0, JBoss, IIS 5.0/6.0
| 購入・価格について |
|
|
