開発者にとってセキュアなWebサイトを構築することは重要な課題ですが、完璧に行うとなると難しいのが現実です。そこで本稿では、FiddlerとプラグインのCasaba Watcherを利用して、Webサイトの脆弱性を漏れなくチェックする方法を紹介します。
Fiddlerとは?
FiddlerはWebにおける通信内容をデバッグできるツールです。Fiddlerがプロキシとなることによって、ブラウザとWebサーバの通信内容を可視化することが可能になります。リクエストとレスポンスを簡単に表示したり、変更したりすることもできます。
Fiddlerのインストール
Fiddlerは、MicrosoftのEric Lawrence氏によって開発されており、Fiddler2のサイトから無償でダウンロードできます。
サイトの「Install Fiddler2」をクリックして、Fiddlerの最新バージョンを入手します。「Fiddler2Setup.exe」をダブルクリックするとインストーラが起動します。
[Install]ボタンを押してイストールを完了させます。インストールが完了するとスタートメニューに「Fiddler2」というメニューが登録されます。このボタンをクリックするとFiddlerが起動します。
Fiddlerの画面
メインウィンドウが表示されれば、プロキシ機能(デフォルトポートは8888)も動作しています。試しにYahooで「マイコミジャーナル」と検索してみましょう。
Fiddlerを起動した後に立ち上げたWebブラウザは、Fiddlerのプロキシを経由するように自動設定されます。そのため、送受信した情報がキャプチャされています。また、送受信した内容は時系列で左ウィンドウに表示されています。
右ウィンドウのInspectorsタブには、リクエスト(上側)とレスポンス(下側)が表示されています。選択するタブによって表示を切り替えることができます。
Fiddlerに続けて、Watcherをインストールしていきます。Fiddlerは一旦終了しておきます。
Watcherとは?
Watcherは脆弱性をスキャンするFiddlerプラグインです。最新版のバージョン1.3では39種類のチェックが可能です。ブラウザでアクセスしたページに対してチェックを行うため、サイトに対して大きな影響を与えないことが特徴です。
Watcherのインストール
Watcherは、米国Casaba Security社によってオープンソース(独自ライセンス)として開発されています。CodePlexから最新バージョンのインストーラ「WatcherSetup.exe」を入手できます。また、動作環境として.NET Framework 3.5が必要です。
Watcherのウィンドウ
インストールが完了したらFiddlerを起動します。ウィンドウにWatcherというタブが追加されていることがわかります。Watcherを有効にするためにConfigrationタブのEnableにチェックを入れておきます。