良いポイント
Webアプリケーションの診断業務にて、すでに5,6年使用しています。
その間他社製品や無償製品との比較をしたこともありますが、正直な話テストパターンはコモディティ化しており、どの製品でも大差ないレベルと思います。
AppScanが優れている点は「アプリケーションの仕様通りに診断を行えること」です。
とても基本で当たり前のことと思うかもしれませんが、「ログインした後の画面を診断する」「入力⇒確認⇒完了の遷移通りに診断する」これだけのことをするために正規表現やマクロ、自分でスクリプトを書く等をしなければならない製品は多いです。
AppScanであれば「ログイン管理」や「マルチステップ操作」という機能を使うことでGUIで設定が可能です。
これらの機能も正直理解が難しい部分がありますが、これ以上はAIの登場を待つしかないのではと思います。
改善してほしいポイント
昨今のWebアプリケーションは進化しすぎてしまい、非常に複雑化しました。
同じ事を実現するのに無数の実装方法があり、必要な設定も同じだけあります。
端的に言えばログイン(認証)です。独自の認証方式から、各認証プロバイダの複雑な認証。はては多要素認証や端末認証まであります。いたちごっこともなりますが多様な認証に追随し続けてほしいと思います。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
動的診断は基本的にはテストケースの量で質を担保するテストとなります。
例えば診断対象が10画面でそれぞれに10個のパラメータがあった場合
各パラメーターに対して数百パターンのテストが必要です。(クロスサイトスクリプティングだけでも100パターン以上必要)
つまり10×10×200としても2万パターンのテストを自動的に実行することが可能です。
検討者へお勧めするポイント
製品比較の際は「アプリケーションの仕様通りに診断できているか」をご確認ください。
せっせとテストして脆弱性が出なかったとしても、ひたすらエラー画面を叩いているだけだったら何の意味もありません。
生成AI機能
0
