eyemovic inc.

Works blog仕事の取り組み・ビジョン

2015.02.10

2015年版 制作現場が使うセキュリティ、ラッシュテストツール

何も考えずに制作すると泣きを見るセキュリティー対策・負荷対策を、地方の制作現場から「これは手間なく使えるな」、「このままレポートとして提出できるな」と実感できるツールをまとめてみました。

 

セキュリティー、ペネトレーションテスト

ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、 システムに脆弱性がないかどうかテストする手法のこと。 侵入実験(しんにゅうじっけん)または侵入テスト(侵入-)とも言われる。 (Wikipedia – ペネトレーションテスト)

 

OWASP Zed Attack Proxy Project (ZAP)

OWASP(Open Web Application Security Project)が提供する、クロスサイトスクリプティングやSQLインジェクションなどの、脆弱性を診断するためのツール。

簡易チェックであれば充分すぎる機能が備わっています。

 

WPScan

WordPressへのセキュリティ診断専用のプログラム。
脆弱性含め、WordPressのセキュリティ対応は充分でない場合も多いので、ぜひ公開前に診断してみてはいかがでしょうか?

こちらの記事もどうぞ WordPress セキュリティプラグイン「Better WP Security」

 

BackTrack Linux

ペネトレーションテストに特化したLinuxディストリビューション。

 

負荷テスト、ラッシュテスト

システムに通常以上の負荷をかけて正常に動作するか、つまり隠れた欠陥がないか調べる リスク管理手法のひとつである。耐久試験。 (Wikipedia – ストレステスト)

 

 

LOAD IMPACT

無料アカウントでは月5回までですが、250仮想ユーザーが5分間、サイトへ負荷を与えることができます。無料ながらリージョンを国外・国内から選べたり、時間経過とともにレスポンス動向がグラフで見れます。

プロジェクトがスタートしたときから少しづつテストしていければ、いい感じに抑えれるんじゃないでしょうか。

 

JMeter

主に負荷テストに使用するツールです。

設定の自由度が高く、パラメーターやヘッダーを編集してやれば、かなり柔軟なテストが可能になります。
環境とシナリオさえ用意してしまえば、ボタンひとつでテストが動作する手軽さも素敵です。
一連のシナリオを作成して、エラーチェック用途としても使用可能です。

 

Apache Bench

単一ページのチェックしか出来ないという点がありますが、お手軽にテストが可能なツールです。
同時接続数と繰り返し回数と接続URLの指定だけという簡単さで、思いついてから結果確認までが、あっという間に終わります。

 

ポータルサイトでニュースリリース。ECサイトでキャンペーンなど、瞬間的に通常の10倍、100倍のアクセス数がきてから、背筋を凍らせる前に。
第三者機関から脆弱性があると報告を受けて脂汗を流す前に。
いかがでしょうか。

 

※ こちらにご紹介のツールは、第三者のサーバーに対して実行するとDoS攻撃となり、捕まる可能性がございます。
ご自身の管理下にあるサーバーに対して、テスト目的で行うようにしてください。

 

愛媛県松山市でWeb開発一筋15年、700サイト以上の構築実績!

Webサイト制作・システム開発・スマホアプリ開発・組込ソフトウェア開発ならアイムービックにお任せ下さい。