SecuAliveの主な機能について説明します。この他にも多くの便利な機能が実装されています。
- 診断に関する機能
No | 機能名 | 説明 | 備考 |
---|---|---|---|
1 | アクセスチェック | SecuAliveが対象サイトにアクセスできるか診断前に確認します。 |
テスト環境の場合、IP制限やBasic認証などでインターネットからアクセスできない設定になっている場合があります。 各種診断前に問題なくアクセスできているか確認する必要があります。 |
2 | 暗号スイート確認 | 対象サイトの暗号スイートに問題があるか確認します。 | TLS1.0、TLS1.1、TLS1.2、TLS1.3などで暗号文が解読される危険性がある暗号スイートを使用しているか確認することができます。 |
3 | 強制ブラウジング | 不要ファイルの公開や管理画面へアクセスできるか確認します。 | 初期設定や開発環境の状態で本番運用をしているサイトでは不要なファイルが公開され、攻撃のヒントとなる情報などが公開されてしまう可能性があります。 |
4 | ページ単位での診断 | クローリングで収集したページ単位でSQLインジェクションなどの脆弱性の診断を行います。 | 簡単にページ単位で診断ができるため、診断時間の節約や修正後の確認がおこなえます。 |
5 | 収集したページ全部の診断 | クローリングで収集したページ全てに対しSQLインジェクションなどの脆弱性の診断を行います。 | 診断時間は掛かりますが、一度に沢山のページが診断できるメリットがあります。 |
6 | 診断プラグイン | SQLインジェクションなどのルールはプラグインとして管理しています。 | 将来的にはユーザーが独自のプラグインを作成できるようにする機能を実装予定です。 |
7 | 診断テンプレート | プラグインをまとめてグループ化したものをテンプレートとして定義してあります。 | オフィシャル、カスタムのテンプレートがあり、ユーザーがプラグインを選択してカスタムテンプレートを作成することができます。 |
8 | メール送信設定 | 診断終了時にメール配信を行う対象を設定できます。 | 初期状態では診断終了時にはメールは送信されません。 |
9 | スケジュール設定 | 指定日、週次、月次で30分刻みで任意のタイミングで診断を開始することができます。 |
- クローリングに関する機能
No | 機能名 | 説明 | 備考 |
---|---|---|---|
1 | 自動クローリング | SecuAliveが自動で診断対象となるページを収集します。 | 難しい操作をせずにを集めることができるのがメリットです。 |
2 | アップロードクローリング | ブラウザとFiddle(Proxyソフトウェア)を利用して取得したログファイルをアップロードしてURLを収集します。 | 基本的には自動クローリングやProxyクローリングでは収集できないURLも集めることができます。 |
3 | Proxyクローリング | Fiddler(Proxyソフトウェア)などの使用せずにSecuAliveの操作のみで、ブラウザ操作のログを取得してページ(URL)を収集します。 | アップロードクローリングは全てのサイトで利用できますが、PCにFiddlerをインストールする必要があります。 Proxyクローリングはブラウザの設定変更、Fiddlerのインストールいらずで自動クローリングではアクセスできないページ(URL)まで収集します。 |
4 | 診断対象除外 | クローリングしたページを個別や正規表現をつかって一括で除外することができます。パラメータ単位での除外もできます。 | 一度診断したページを除外することで、診断時間を短くすることができます。 |
5 | URL・パラメータ一覧 | 収集したページの情報を確認できます。 | HTML、PDF、CSV形式でダウンロードすることができます。 簡単に診断対象となるパラメータの確認や、エクセルなどの資料作成にも使用することができます。 |
6 | 独自の名前付け機能 | クローリングしたページのグループ名、ページ単位での名前を設定できます。 | どの機能のページ(URL)を集めたものか、ページ名(titleタグから自動設定)をつけることで、診断対象を明確にすることができます。 |
7 | 自動設定機能 | CSRFトークンの検出、シナリオ、パラメータタイプなどを自動で設定します。 | CSRFトークンの検出を行い、シナリオ(マルチステップ)の自動設定することで、初心者でもきちんと診断ができるようになります。 |
8 | ページアクセスチェック | 診断前にきちんと対象ページにアクセスできているか確認できます。 | シナリオ(マルチステップ)の設定が間違っていないか簡単に確認できます。 アクセス確認をしなくとも画面やHTMLソースコードを確認することもできます。 |
9 | アクセス制限設定 | クローリングに収集対象となるドメインの追加や、除外対象としたいページの設定ができます。 | SecuAliveはサイトに登録したドメイン以外は、クローリングでは収集しません。 |
- レポートに関する機能
No | 機能名 | 説明 | 備考 |
---|---|---|---|
1 | 診断結果サマリー | 検出した脆弱性のURL、パラメータ毎の該当箇所を確認できます。 | 問題のあったURLとパラメータの概要を簡単に把握することができます。 |
2 | プラグイン別一覧 | 検出したプラグイン(脆弱性)別に絞ったURL、パラメータ毎の該当箇所を確認できます。 | プラグイン(脆弱性)単位で問題のあったURLとパラメータの概要を簡単に把握することができます。 |
3 | 再送機能 | 検出した脆弱性を再現したリクエストを簡単に送信できます。 | 脆弱性を修正後、パラメータ単位で問題なく修正されたか簡単に確認できます。 |
4 | レスポンス詳細 | 検出した脆弱性の詳細を確認できます。 | 脆弱性の概要、リスク、対策と診断時のリクエスト、レスポンスを確認できます。 重要な箇所は強調(ハイライト)され見やすくなっています。 |
5 | レポート作成 | 診断結果をHTML、PDF、CSVの形式のレポートが作成できます。 | 上長提出用のサマリーレポート、開発担当者に提出する詳細レポートを必要な脆弱性に絞ったレポートを作成できます。 |
6 | サイトレポート作成 | 暗号スイート確認、強制ブラウジング、ページ診断(URL単位)の診断結果とまとめて一つのレポートを作成します。 | 複数の診断結果から出力したい内容を選択してレポートを作成できます。 |
7 | ダウンロード | 作成したレポートをHTML、PDF、CSVの形式でダウンロードできます。 | HTMLは直接ブラウザで確認でき、PDFは印刷用、CSVは資料作成用などさまざまな使用方法があります。 |
- 管理機能
No | 機能名 | 説明 | 備考 |
---|---|---|---|
1 | グループ・ログイン確認 | グループのユーザ確認、最終ログイン日時が確認できます。 | ユーザー追加・削除はグループ編集からおこないます。 |
2 | ユーザー追加 | グループにユーザーを追加できます。 | 追加可能なユーザー数に制限はありません。 |
3 | 実行中の処理一覧 | 実行中のクローリングや診断の一覧が確認できます。 | 管理ユーザーがその他ユーザーの処理状況を確認できます。 |
4 | スケジュール一覧 | 各種診断のスケジュール設定を確認、削除ができます。 | 指定日、週次、月次で30分刻みで設定することができます。 |
5 | ログイン、実行ログ一覧 | ログイン、診断実行、診断結果確認などの処理のログを取得しています。 | ユーザー名、IPアドレスが保存されるため、不正アクセスがあった場合気づくことができます。 |
- ユーザ権限
No | 権限名 | 説明 | 備考 |
---|---|---|---|
1 | 管理者 | 全ての処理が実行できる権限です。 |
グループ追加、プロジェクト作成やユーザ側で診断対象サイトを登録することができます。 この権限は無制限ライセンス購入の場合のみ、発行します。 |
2 | ユーザー管理者 | ユーザー追加など管理機能が実行できる権限です。 |
グループ作成、プロジェクト作成、診断対象サイトの登録はSecuAlive管理者が行います。 新しくサイトを登録したい場合は、新たな契約を結ぶ必要があります。 |
3 | ユーザー | 診断を行う上で必要な機能が全て利用できる権限です。 |
管理機能は利用できません。 診断担当者やプログラマーは、この権限のユーザーで作成される場合がほとんどです。 |
4 | トライアル | 診断できる脆弱性が制限されている権限です。 |
クロスサイトスクリプティング、SQLインジェクションのみが診断できます。 機能に関してはユーザーと同等の処理が実行できます。 |