開発者にとってセキュアなWebサイトを構築することは重要な課題ですが、完璧に行うとなると難しいのが現実です。そこで本稿では、FiddlerとプラグインのCasaba Watcherを利用して、Webサイトの脆弱性を漏れなくチェックする方法を紹介します。

Fiddlerとは?

FiddlerはWebにおける通信内容をデバッグできるツールです。Fiddlerがプロキシとなることによって、ブラウザとWebサーバの通信内容を可視化することが可能になります。リクエストとレスポンスを簡単に表示したり、変更したりすることもできます。

Fiddlerのインストール

Fiddlerは、MicrosoftのEric Lawrence氏によって開発されており、Fiddler2のサイトから無償でダウンロードできます。

Fiddlerのサイト

サイトの「Install Fiddler2」をクリックして、Fiddlerの最新バージョンを入手します。「Fiddler2Setup.exe」をダブルクリックするとインストーラが起動します。

[Install]ボタンを押してイストールを完了させます。インストールが完了するとスタートメニューに「Fiddler2」というメニューが登録されます。このボタンをクリックするとFiddlerが起動します。

Fiddlerインストーラ

Fiddlerの画面

メインウィンドウが表示されれば、プロキシ機能(デフォルトポートは8888)も動作しています。試しにYahooで「マイコミジャーナル」と検索してみましょう。

Yahooでマイコミジャーナルを検索

Fiddlerを起動した後に立ち上げたWebブラウザは、Fiddlerのプロキシを経由するように自動設定されます。そのため、送受信した情報がキャプチャされています。また、送受信した内容は時系列で左ウィンドウに表示されています。

右ウィンドウのInspectorsタブには、リクエスト(上側)とレスポンス(下側)が表示されています。選択するタブによって表示を切り替えることができます。

Fiddlerのメインウィンドウ

リクエスト(クエリストリング)とレスポンス(HTMLイメージ)

Fiddlerに続けて、Watcherをインストールしていきます。Fiddlerは一旦終了しておきます。

Watcherとは?

Watcherは脆弱性をスキャンするFiddlerプラグインです。最新版のバージョン1.3では39種類のチェックが可能です。ブラウザでアクセスしたページに対してチェックを行うため、サイトに対して大きな影響を与えないことが特徴です。

Watcherのインストール

Watcherは、米国Casaba Security社によってオープンソース(独自ライセンス)として開発されています。CodePlexから最新バージョンのインストーラ「WatcherSetup.exe」を入手できます。また、動作環境として.NET Framework 3.5が必要です。

Watcherのインストーラ

Watcherのウィンドウ

インストールが完了したらFiddlerを起動します。ウィンドウにWatcherというタブが追加されていることがわかります。Watcherを有効にするためにConfigrationタブのEnableにチェックを入れておきます。

WatcherがインストールされたFiddler