Webサイトにアクセス
それでは、Watcherでセキュリティについてチェックをしてみましょう。まずブラウザを起動して任意のサイトにアクセスします。ここではWatcherのページ「http://websecuritytool.codeplex.com/」にアクセスします。
チェック結果の確認
結果を確認してみましょう。いくつかのメッセージが表示されていることが分かります。チェック結果は、危険度レベルの低い順からInformational、Low、Medium、Highの4つに分類されます。チェック結果を保存したい場合は[Export Findings]ボタンで、HTML、XML形式でレポート出力できます。
チェック内容の確認
チェック内容の詳細はChecksタブにて確認できます。デフォルトで39個のチェックが有効になっています。参考まで、チェック内容をカテゴリ別にまとめておきます。
カテゴリ別のチェック内容
区分 | 説明 | チェック数 |
---|---|---|
Chareset | 文字コード関連 | 2 |
Cookie | クッキー関連 | 3 |
Cross-Domain | クロスドメイン関連 | 4 |
Flash | Adobe Flash関連 | 2 |
Header | HTTPヘッダ関連 | 6 |
Information Disclosure | 情報漏洩関連 | 5 |
Javascript | 危険なJavaScript | 1 |
Silverlight | Silverlight関連 | 2 |
SSL | SSL認証関連 | 4 |
Unicode | 不当なバイトストリームチェック | 1 |
User Controlled | ユーザーによる制御 | 6 |
ASP.NET VIEWSTATE | ViewStateのMACチェックなど(ベータ) | 1 |
JavaServer Faces | JSF関連(ベータ) | 1 |
SharePoint | SharePoint関連(ベータ) | 1 |
信頼済みドメインの設定
異なるドメインのサービスを使っている場合には、そのドメインを信頼済みドメインとして登録しておくことができます。
先程のチェックではクロスドメインのCSS利用が警告されていましたが、「i1.codeplex.com」は信頼できるドメインですので[Trusted domains]に追加します。ワイルドカードを使うこともできます。この設定内容を保存しておくことで、より信頼性の高いチェックが可能となります。
以上、FiddlerとWatcherを用いてWebサイトのセキュリティをチェックする方法について紹介しました。現在のWatcherのチェック項目は39個ですが、今後増えていくかもしれません。また、OWASP(Open Web Application Security Project)のセキュリティ検査標準(ASVL1/ASVL2)にも対応しつつあります。興味を持たれた方はFiddlerとWatcherをダウンロードして試してみてはいかがでしょうか。