問題が起きる前に。Webサーバセキュリティチェッカー「Websecurify」
Websecurifyは主立ったWebサーバにおけるセキュリティチェックを自動化してくれるソフトウェアです。
Webサイトを巡るセキュリティ問題は多々あります。自動化されている攻撃ソフトウェアもあり、ちょっとした油断で一気に重要データが引き抜かれたり、逆に破壊されてしまう可能性があります。それを事前に確認すべく使っておきたいソフトウェアがWebsecurifyです。
Websecurifyは代表的と言えるセキュリティチェックについて自動で行ってくれます。SQLインジェクション、ローカルファイルの読み込み、クロスサイトスクリプティング、CSRFなど多岐にわたります。サーバの種別を判断した上でやり方を変えるので、より確度が高くなります。なお実施は相手も了承しているサーバにおいてのみ行うようにしましょう。
WebsecurifyはWindows、Mac OSX、Linux用のオープンソース・ソフトウェア(GPL v2)です。
MOONGIFTはこう見る
Websecurifyでテストできるのはいわば代表的、シンプルなテスト項目であると言えます。一つのURLに限らず、ログインや問い合わせフォームなど様々なURLに対してテストする必要もあるでしょう。Websecurifyで出てくるレベルのインシデントであれば、ほぼ確実に自動化された攻撃スクリプトにやられる可能性がありますので、確実に塞いでおくべきです。
認知度の低いサイトだからと放っておくのは危険です。攻撃スクリプトは自動巡回しており、相手を自動で検索しています。データの破損はもちろん、パスワードの抜き取りやスパム送信のボットにされる可能性があります。攻撃手順が高度化している現在、守る側も高度なツールを使いこなすようにしなければいけません。
websecurify - web security testing runtime - Google Project Hosting