[web] IPAのiLogScannerを使って脆弱性を検出してみた
火曜日, 4月 22nd, 2008 Posted in webサービス, web開発 | No Comments »IPAがウェブサイトの脆弱性検出ツール iLogScannerというものをリリースしました。これは「ウェブサーバのアクセスログを解析して脆弱性検出を簡易に行うツール」と書いてあります。現在のところはSQLインジェクションと思われる攻撃の検出しかできないようですが、これから増えていくようです。 今回はこのツールを使用して、自分が運営しているサイトについて診断しました。 iLogScannerのトップページへ行き概要を読みます。 解析対象のアクセスログ形式と動作環境は以下の通りでした。Javaの実行環境が必要なようです。ちなみに自分あはWinXP Professional SP2、IE6でやってみました。 ■アクセスログの形式 IIS5.0/6.0のW3C拡張ログファイルタイプ Apache HTTP Server1.3系/2.0系/2.2系のcommonタイプ