このトピックでは、Parasoft SOAtest を使用して侵入テストを実行する方法について説明します。

概要

アプリケーションのセキュリティ ホールを発見するには、侵入テストが重要です。Parasoft SOAtest を使用すると、既存の API 機能テストのシナリオを利用してセキュリティ テストを作成し、自動化された CI プロセスに侵入テストを追加できます。

侵入テスト シナリオの作成

SOAtest は、HTTP または HTTPS でアクセス可能な REST および SOAP の API の侵入テストをサポートします。

侵入テストは、侵入テストが必要な API を含む機能テスト シナリオから開始し、それらのシナリオを侵入テスト用に構成することでサポートされます。既存の機能テスト シナリオを利用して侵入テストに変えることも、侵入テスト専用のカスタムの簡略化されたテスト シナリオを作成することもできます。

機能テストをセキュリティ テストとして再利用すると、以下のようなメリットがあります。

  1. 機能テストはすでに作成されているため、すでに行われた作業を再利用することができ、時間と労力を節約できます。
  2. 特定の API を実行するには、データベースの準備や他の API の呼び出しなど、いくつかセットアップが必要になる場合があります。すでに機能している機能テストから始めれば、このセットアップはすでに完了しています。

侵入テスト シナリオを構成するための一般的なワークフローは次のとおりです。  

  1. 侵入テストに使用するテスト シナリオを特定し、それをコピーします。通常と同じように、オリジナルのテスト シナリオを使って機能テストを実行し続けることができます。
  2. テスト クライアント (SOAP ClientREST ClientEDI ClientMessaging Clientなど) に、侵入テストが必要な API 呼び出しを行う Penetration Testing Tools to the Traffic Object 出力を追加します。

  3. Browser Playback Tool の場合、侵入テストが必要な HTTP トラフィックまたはブラウザー コンテンツの出力に Penetration Testing Tool を追加します。ツールが HTTP Traffic 出力に連結されている場合、ツールはそのトラフィック メッセージによって記述されたリクエストのみを攻撃します。このツールが Browser Contents に連結されている場合、Browser Playback ツールによって行われたすべてのリクエストを攻撃します。デフォルトでは、[Parasoft] > [設定] > [ブラウザー設定] で有効にしない限り、バイナリ ファイルは無視されます (「その他の設定」を参照)。

  4. アプリケーションが変更されたら、機能テスト シナリオだけを更新します。対応する侵入テスト シナリオを実行する準備ができたら、最新の機能テストのセットからコピーして、そのコピーを侵入テスト用に設定するという上記のプロセスを繰り返します。

侵入テストを行うには、API Security Testing ライセンス機能が有効なユーザー ライセンスが必要です。 Penetration Testing Tool も CTP で追加可能です。「Penetration Testing Tool」を参照してください。

セキュリティ テスト シナリオを作成するためのベスト プラクティス

侵入テストに内在するリスク

その性質上、侵入テストは、テスト対象アプリケーション (AUT) のセキュリティの脆弱性を見つけるために、悪意のあるユーザーの活動をシミュレートします。このため、侵入テストは、AUT または SOAtest が実行されているシステムに以下のような影響を与える可能性があります。

  • AUT がダウンする可能性があります。
  • AUT のデータが変更されたり、破損したりする可能性があります。
  • AUT または SOAtest が実行されているマシンにウイルス対策アプリケーションがインストールされている場合、SOAtest の侵入テストのテストアクティビティを疑わしいまたは悪意のあるものとして解釈し、警告を生成したり、その他のアクションを取ったりする可能性があります。

ベスト プラクティスに従うことで、侵入テストの実行によって引き起こされる可能性のあるこれらの問題やその他の潜在的な問題を軽減できます。

  • 機能テスト シナリオは、セキュリティ テストのシナリオとは別に管理し、別々のテストジョブで実行してください。この主な理由は、既存の機能テストに侵入テストを追加すると、機能テストが不安定になる可能性があるからです。どの機能テスト シナリオを自動化されたセキュリティ テストにするかを選択して、別のセキュリティ テストとして管理する機能テストのコピーを作成する必要があります。
  • 侵入テストには費用がかかるので、どのテストを選ぶかを選択する必要があります。テストの数を最小限に抑えながら、対象となる API の攻撃対象領域を最大化する必要があります以下の点を考慮する必要があります。
    • Penetration Testing Tool は、リクエスト/レスポンスのトラフィックを分析し、リクエスト内のどのパラメーターがテストできるかを理解します。API へのすべての入力が確実に分析されるように、各 API のすべてのパラメーターを実行する機能テストを選択する必要があります。
    • 各シナリオでは、どの API 呼び出しをテストするかを決定する必要があります。同じ API が複数のシナリオから参照される可能性があり、別のシナリオでテストされる API に対して、侵入テストを重複して実施したくない場合があります。Penetration Testing Tool は、侵入テストの対象となる API の適切なテストにのみ追加するべきです。
    • シナリオの数は、セキュリティ テストが少なくとも 1 日に 1 回実行できる程度の短さになるように管理する必要があります。
  • 機能テスト シナリオには、初期化またはクリーンアップのためのセットアップまたはティアダウンセクションが含まれている場合があります。これらは通常、侵入テストを行う必要はありません。これらは通常、浸透テストを行う必要はありません。
  • 機能テストにパラメータライズがある場合は、それを削除してください。Penetration Testing Tool は、何をテストすべきかを知るために、同じパラメーターの複数の値のセットを確認する必要はありません。異なる値のセットを送信すると、テストが重複するため、テストの実行が長くなる可能性があります
  • 侵入テスト シナリオに変換された機能テスト シナリオから、すべてのアサーションを削除する必要があります。API の機能テストには、通常、サービスからのレスポンスを検証するアサーションがあります。セキュリティ テストとして使用すると、これらのアサーションは失敗する可能性がありますが、結果を確認するときにノイズが発生します。なぜなら、このコンテキストでは、検出されたセキュリティの脆弱性のみを気にするためです。
  • 一部の API 呼び出しは、データベースにデータを追加します。このような API に対して Penetration Testing Tool を使用すると、Penetration Testing Tool が API に向ける攻撃の数が原因で、データベースが情報で肥大化する可能性があります。場合によっては、アプリケーションのパフォーマンスが低下して、自動化されたセキュリティ テストの実行が適切な時間内に終了しないなど、予期せぬ副作用が発生することがあります。  このような挙動が見られた場合は、開発チームが問題を解決するまで、その API に対するセキュリティ テストを自動実行から除外してください。
  • 機能テストとセキュリティ テストを同じテスト環境で実行するか、別の環境で実行するかを検討する必要があります。機能テストとセキュリティ テストの実行の間に環境をリセットするか、別の環境を使用すると、テストの安定性が向上しますが、通常は必要ありません。多くの場合、同じ環境を再利用できますが、再利用する場合は、最初に機能テストを実行し、最後にセキュリティ テストを実行するべきです。なぜなら、セキュリテ ィテストが機能テストの環境を不安定にする可能性があるからです。さまざまな環境を使用する場合は、元の機能テスト シナリオが変数で構成されていることを確認して、さまざまな環境のさまざまなエンドポイントでテストを簡単にポイントできるようにする必要があります。SOAtestは、環境変数を使用してこれをサポートします。( 異なる環境でのテスト構成 を参照してください。)

侵入テスト シナリオの実行

侵入テスト シナリオを実行するには、「機能テストの実行」の説明に従ってシナリオを実行します。

  • Penetration Testing Tool が接続されたツールを実行すると、対応するリクエストとレスポンスのデータがキャプチャされ、Penetration Testing Tool が侵入テストを実行する際の開始点として使用されます。

侵入テストの実行には、たとえ単一の API であっても時間を要することがあるため、Penetration Testing Tool には、次のテストに移るまでの実行時間を管理するタイムアウトが組み込まれています。タイムアウトは、テストの実行に使用されるテスト構成で構成されたタイムアウトに準拠します。現在の API の侵入テストが完了する前にタイムアウトに達した場合、その API の侵入テストは中断され、エラーが報告されます。

さらに、正規表現として追加されたグローバルな包含と除外を設定して、Penetration Testing Tool によってスキャンされる URL を制御できます。包含は除外の前に処理されます。包含が定義されていない場合、除外を考慮する前にすべてが含まれていると見なされます。包含および除外は、Penetration Testing Tool が連結されているツールに関係なく適用されます。

タイムアウトおよび/または包含と除外を変更するには、[Parasoft] > [テスト コンフィギュレーション] に移動し、テスト コンフィギュレーションを選択して [実行] > [セキュリティ] に移動します。

 

  • タイムアウトは分単位で測定されます。
  • 含める URL または除外する URL を決定するために使用する正規表現を追加するには、テーブルの横にある [追加] をクリックして、正規表現を入力します。
  • 以前に追加した URL 正規表現を削除するには、その正規表現を選択して [削除] をクリックします。

侵入テスト シナリオを実行すると、スキャン対象に関する情報がコンソール ビューに表示されます。コンソールで高詳細度を有効にすると、どの URL がスキャンされ、どの URL がスキップされているかなどの詳細が提供され、包含パターンと除外パターンが期待どおりに実行されていることを確認できます。高い冗長レベルを有効にするには、[Parasoft] > [設定] > [コンソール] に移動し、[] を選択します。

結果の確認

UI から実行している場合、エラーは [品質タスク] ビューにレポートされます。各エラーをダブルクリックするか、右クリックして [詳細の表示] を選択すると、エラーの詳細とその修正方法を確認できます。

より詳細な結果は、HTML レポートを生成することで得られます。HTML レポートは、CWE または OWASP 2021 トップ 10 ([Parasoft] > [設定] > [レポート] > [API セキュリティ] で設定されます。この設定を変更した後にテストを再実行する必要がないことに注意してください)、リスク、および信頼度ごとにエラーを分類します。

詳細については「結果の確認」を参照してください。

偽陽性の抑制

Penetration Testing Tool で使用される多くのルールは、ヒューリスティックを適用して AUT HTTP レスポンスを分析し、アラートを生成します。このため、レポートされたエラーの中には偽陽性のものがあるかもしれません。新しいエラーを個々に確認して、それが実行可能なアイテムなのか、偽陽性なのかを判断してください (評価のためにアラートの 信頼度 レベルを使用することもできます)。

次回以降の実行時に Penetration Testing Tool が偽陽性をレポートするのを防ぐために、[品質タスク] ビューまたは抑制ファイルでエラーを抑制することができます。詳細については 「タスクの抑制」 を参照してください。

すべてのテストでアクティブ スキャン ルールを抑制するには、デフォルトのアクティブ スキャン ポリシーを変更します。「Configuring Scan Policies」を参照してください。

スキャン ポリシーの構成

SOAtest の侵入テストでは、アクティブ スキャンとパッシブ スキャンのルールを使って分析を行います。アクティブ スキャン ルールは、セキュリティの脆弱性を発見しようと、API に追加の (操作された) リクエストを行います。対照的に、パッシブ スキャン ルールは、アプリケーションに新しいリクエストを行わず、代わりに、対応するツールによってキャプチャされたリクエスト/レスポンス データを分析して、セキュリティの脆弱性を発見します。SOAtest は、侵入テストのために OWASP ZAP を活用しています。 

各プロファイルは、アクティブ スキャン ポリシーと一連のパッシブ スキャン ルールで構成されます。各プロファイルは、1 つのアクティブ スキャン ポリシーおよびパッシブ スキャン ルール セットで構成されます。デフォルトでは、構成されたテストが REST API、SOAP API、またはその他の Web リソース (HTML など) に対してリクエストを行うかどうかに基づいて、プロファイルが選択されます。

カスタムのアクティブ スキャン ポリシーを使用したい場合は、OWASP ZAP からスキャン ポリシーをエクスポートし、それを使用するように SOAtest を構成することで可能になります。エクスポートされたスキャンポリシーは、Penetration Testing Tool で使用されるアクティブ スキャン ルール セットを構成します。カスタムのアクティブ スキャン ポリシーを使用する場合、リクエストが REST API または SOAP API のどちらに行われるかに基づいて、適切なパッシブ スキャン ルール セットが自動的に使用されます。

カスタムの ZAP スキャン ポリシーを使用するように SOAtest を設定するには、以下の操作を行います。

  1. [Parasoft] > [テスト コンフィギュレーション] を選択し、テスト コンフィギュレーション マネージャーを開きます。
  2. [新規] をクリックして新しいテスト コンフィギュレーションを作成するか、既存のものを選択します。
  3. テスト コンフィギュレーションの [実行] > [セキュリティ] タブをクリックします。
  4. [カスタム スキャン ポリシーの使用] を有効にします。
  5. [参照] ボタンを使用して、ZAP .policy ファイルを選択します。

カスタム アクティブ スキャン ポリシーの作成

SOAtest ZAP のインストール ディレクトリにある SOAtest embedded ZAP を使って、カスタム アクティブ スキャン ポリシーを作成・変更することができます: plugins\com.parasoft.ptest.libs.web_<VERSION>\root\zap (ここで、version は com.parasoft.ptest.libs.web プラグインの実際のバージョンです。)たとえば、10.5.2.202109012000)

SOAtest とは独立して ZAP がインストールされている場合は、次のいずれかの場所に ZAP ホームディレクトリがあるはずです。

  • Windows: C:\Users\<username>\OWASP ZAP
  • Linux: ~/.ZAP
  • Mac: ~/Library/Application Support/ZAP

これらのディレクトリに保存されている独立した ZAP インストールのユーザー設定は、起動時に SOAtest embedded ZAP と競合する可能性があります。このため、SOAtest embedded ZAP を起動する際には、-dir コマンドライン引数を使用し、カスタム ZAP のホーム ディレクトリを指定して起動する必要があります。コマンドプロンプトを使用して、SOAtest ZAPインストール ディレクトリに移動し、カスタム ZAP のホーム ディレクトリを使用して SOAtest embedded ZAP を起動します。次に例を示します。

  • Windows: zap -dir C:\Users\your_name\ZAP_SOATEST
  • Linux: ./zap.sh -dir ~/.ZAP_SOATEST
  • Mac: ./zap.sh -dir ~/Library/Application Support/ZAP_SOATEST

SOAtest とは独立した ZAP がインストールされていない場合は、SOAtest ZAP のインストール ディレクトリにある zap.bat (Windows) または zap.sh (Linux、Mac) スクリプトを使用して SOAtest embedded ZAP を実行できます。

SOAtest embedded ZAP を起動すると、すでに使用されているプロキシ ポートを使用しようとする場合があります。その場合、ZAP は別のポートを選択するように求めます。

新しいアクティブ スキャン ポリシーを作成したり、既存のポリシーを編集するには、ZAP のトップメニューから [Analyze] > [Scan Policy Manager] を選択します。[Scan Policy Manager ] ダイアログで、既存のポリシーを選択するか、新しいポリシーを作成します。[Scan Policy] ダイアログで、カスタム ポリシーに適用するアクティブ スキャン ルールを選択します。

作成したカスタム .policy ファイルは、ZAP ホームディレクトリの policies フォルダーに保存されます。

注意

SOAtest embedded ZAP に含まれていないアクティブ スキャン ルールを追加したい場合は、これらのルールを含む ZAP アドオンを SOAtest ZAP インストール ディレクトリの plugin ディレクトリに追加し、このセクションで説明するようにカスタム ポリシーでこれらのルールを選択することができます。ただし、SOAtest ZAP インストール ディレクトリに ZAP アドオンを追加・変更した場合、SOAtest embedded ZAP の正常な実行を保証できなくなるため、続行する前に注意して必要なバックアップを作成してください。

デフォルトのアクティブ スキャン ポリシーの検査と変更

SOAtest で使用されているデフォルトのアクティブ スキャン ポリシーを検査・変更することができます。SOAtest インストールの以下のフォルダーにあります: plugins\com.parasoft.ptest.libs.web_version\root\zap\policies (ここで、version com.parasoft.ptest.libs.web プラグインの実際のバージョンです。たとえば 10.5.2.202109012000)

このフォルダーには、以下のアクティブ ポリシー ファイルが含まれています。

  • Parasoft SOAP.policy – SOAP API へのリクエストに使用されます。これには主に、SOAP Client に接続された Penetration Testing Tool が含まれますが、SOAP API にリクエストを行う他のツールを含めることができます。
  • Parasoft REST.policy – REST API へのリクエストに使用されます。これには主に、REST Client に接続された Penetration Testing Tool が含まれますが、他のクライアント ツールや Browser Playback Tool など、REST API にリクエストを行う他のツールを含めることもできます。
  • Parasoft Web.policy – 非 API Web リソースへのリクエストに使用されます。これは、非 API リクエスト用の Browser Playback Tool に接続された Penetration Testing Tool にのみ使用されます。

これらのポリシーのいずれかを変更した場合、変更したポリシーは次回の Penetration Testing Tool の起動時に使用されます

サポートされている侵入テスト ルール

IDルールCWE IDOWASPリスクタイププロファイル
0Directory Browsing 548A01:2021mediumActiveWeb/REST/SOAP
2Private IP Disclosure 200A01:2021lowPassiveWeb/REST/SOAP
3Session ID in URL Rewrite 200A01:2021mediumPassiveWeb/REST/SOAP
6Path Traversal 22A03:2021highActiveWeb/REST/SOAP
7Remote File Inclusion 98A03:2021highActiveWeb/REST
41Source Code Disclosure - Git 541A05:2021highActiveWeb/REST/SOAP
42Source Code Disclosure - SVN 541A05:2021mediumActiveWeb/REST/SOAP
43Source Code Disclosure - File Inclusion 541A05:2021highActiveWeb/REST/SOAP
10003Vulnerable JS Library 829A06:2021mediumPassiveWeb/REST/SOAP
10009In Page Banner Information Leak 200A05:2021lowPassiveWeb/REST/SOAP
10010Cookie No HttpOnly Flag 1004A05:2021lowPassiveWeb/REST/SOAP
10011Cookie Without Secure Flag 614A05:2021lowPassiveWeb/REST/SOAP
10015Incomplete or No Cache-control Header Set 525未指定lowPassiveWeb/REST
10017Cross-Domain JavaScript Source File Inclusion 829A08:2021lowPassiveWeb/REST/SOAP
10019Content-Type Header Missing 345A05:2021informationalPassiveWeb/REST/SOAP
10020Anti-clickjacking Header 1021未指定mediumPassiveWeb/REST/SOAP
10021X-Content-Type-Options Header Missing 693A05:2021lowPassiveWeb/REST
10023Information Disclosure - Debug Error Messages 200A01:2021lowPassiveWeb/REST/SOAP
10024Information Disclosure - Sensitive Information in URL 200A01:2021informationalPassiveWeb/REST/SOAP
10025Information Disclosure - Sensitive Information in HTTP Referrer Header 200A01:2021informationalPassiveWeb/REST/SOAP
10026HTTP Parameter Override 20A04:2021mediumPassiveWeb/REST/SOAP
10027Information Disclosure - Suspicious Comments 200A01:2021informationalPassiveWeb/REST/SOAP
10028Open Redirect 601A03:2021highPassiveWeb/REST/SOAP
10029Cookie Poisoning 20A03:2021informationalPassiveWeb/REST/SOAP
10030User Controllable Charset 20A03:2021informationalPassiveWeb/REST/SOAP
10031User Controllable HTML Element Attribute (Potential XSS) 20A03:2021informationalPassiveWeb/REST/SOAP
10032Viewstate 642未指定high, medium, low, informationalPassiveWeb/REST/SOAP
10033Directory Browsing 548A01:2021mediumPassiveWeb/REST/SOAP
10034Heartbleed OpenSSL Vulnerability (Indicative) 119A09:2021highPassiveWeb/REST/SOAP
10035Strict-Transport-Security Header 319A05:2021low, informationalPassiveWeb/REST/SOAP
10036HTTP Server Response Header 200A05:2021low, informationalPassiveWeb/REST/SOAP
10037Server Leaks Information via 'X-Powered-By' HTTP Response Header Field(s) 200A01:2021lowPassiveWeb/REST/SOAP
10038Content Security Policy (CSP) Header Not Set 693A05:2021medium, informationalPassiveWeb/REST/SOAP
10039X-Backend-Server Header Information Leak 200A05:2021lowPassiveWeb/REST/SOAP
10040Secure Pages Include Mixed Content 311A05:2021medium, lowPassiveWeb/REST/SOAP
10041HTTP to HTTPS Insecure Transition in Form Post 319A02:2021mediumPassiveWeb/REST/SOAP
10042HTTPS to HTTP Insecure Transition in Form Post 319A02:2021mediumPassiveWeb/REST/SOAP
10043User Controllable JavaScript Event (XSS) 20A03:2021infoPassiveWeb/REST/SOAP
10044Big Redirect Detected (Potential Sensitive Information Leak) 201A04:2021lowPassiveWeb/REST/SOAP
10045Source Code Disclosure - /WEB-INF folder 541A05:2021highActiveWeb/REST/SOAP
10047HTTPS Content Available via HTTP 311A05:2021lowActiveWeb/REST/SOAP
10048Remote Code Execution - Shell Shock 78A09:2021highActiveWeb/REST/SOAP
10049Content Cacheability 524未指定informationalPassiveWeb/REST
10050Retrieved from Cache 未指定未指定informationalPassiveWeb/REST/SOAP
10051Relative Path Confusion20A05:2021mediumActiveWeb
10052X-ChromeLogger-Data (XCOLD) Header Information Leak 200A04:2021mediumPassiveWeb/REST/SOAP
10054Cookie without SameSite Attribute 1275A01:2021lowPassiveWeb/REST/SOAP
10055CSP 693A05:2021medium, low, informationalPassiveWeb/REST/SOAP
10056X-Debug-Token Information Leak 200A01:2021lowPassiveWeb/REST/SOAP
10057Username Hash Found 284A01:2021informationalPassiveWeb/REST/SOAP
10061X-AspNet-Version Response Header 933A05:2021lowPassiveWeb/REST/SOAP
10062PII Disclosure 359A04:2021highPassiveWeb/REST/SOAP
10063Permissions Policy Header Not Set 16A01:2021lowPassiveWeb/REST/SOAP
10070Use of SAML 未指定未指定informationalPassiveWeb/REST/SOAP
10094Base64 Disclosure 200A04:2021high, informationalPassiveWeb/REST/SOAP
10095Backup File Disclosure 530A04:2021mediumActiveWeb/REST/SOAP
10096Timestamp Disclosure 200A01:2021informationalPassiveWeb/REST/SOAP
10097Hash Disclosure 200A04:2021high, lowPassiveWeb/REST/SOAP
10098Cross-Domain Misconfiguration 264A01:2021mediumPassiveWeb/REST/SOAP
10099Source Code Disclosure 540A05:2021mediumPassiveWeb/REST/SOAP
10103Image Location and Privacy Scanner 200未指定informationalPassiveWeb/REST/SOAP
10105Weak Authentication Method 287A01:2021high, mediumPassiveWeb/REST/SOAP
10106HTTP Only Site 311A05:2021mediumActiveWeb/REST/SOAP
10107Httpoxy - Proxy Header Misuse 20A06:2021highActiveWeb/REST/SOAP
10108Reverse Tabnabbing 未指定A04:2021mediumPassiveWeb/REST/SOAP
10109Modern Web Application 未指定未指定informationalPassiveWeb/REST/SOAP
10110Dangerous JS Functions 749A04:2021lowPassiveWeb/REST/SOAP
10202Absence of Anti-CSRF Tokens 352A01:2021low, informationalPassiveWeb/REST/SOAP
20012Anti-CSRF Tokens Check352A05:2021highActiveWeb
20015Heartbleed OpenSSL Vulnerability 119A06:2021highActiveWeb/REST/SOAP
20016Cross-Domain Misconfiguration 264A01:2021highActiveWeb/REST/SOAP
20017Source Code Disclosure - CVE-2012-1823 20A06:2021highActiveWeb/REST/SOAP
20018Remote Code Execution - CVE-2012-1823 20A06:2021highActiveWeb/REST/SOAP
20019External Redirect 601A03:2021highActiveWeb/REST
30001Buffer Overflow 120A03:2021mediumActiveWeb/REST/SOAP
30002Format String Error 134A03:2021mediumActiveWeb/REST/SOAP
30003Integer Overflow Error 190A03:2021mediumActiveWeb/REST
40003CRLF Injection 113A03:2021mediumActiveWeb/REST
40008Parameter Tampering 472A04:2021mediumActiveWeb/REST/SOAP
40009Server Side Include 97A03:2021highActiveWeb/REST
40012Cross Site Scripting (Reflected) 79A03:2021highActiveWeb/REST
40013Session Fixation 384A01:2021highActiveWeb/REST/SOAP
40014Cross Site Scripting (Persistent) 79A03:2021highActiveWeb/REST
40015LDAP Injection 90A03:2021highActiveWeb/REST/SOAP
40016Cross Site Scripting (Persistent) - Prime 79未指定informationalActiveWeb/REST
40017Cross Site Scripting (Persistent) - Spider 79未指定informationalActiveWeb/REST
40018SQL Injection 89A03:2021highActiveWeb/REST/SOAP
40025Proxy Disclosure 200A05:2021mediumActiveWeb/REST/SOAP
40028ELMAH Information Leak 215A05:2021mediumActiveWeb/REST/SOAP
40029Trace.axd Information Leak 215A05:2021mediumActiveWeb/REST/SOAP
40031Out of Band XSS79A03:2021highActiveWeb/REST
40032.htaccess Information Leak 215A05:2021mediumActiveWeb/REST/SOAP
40034.env Information Leak 215A05:2021mediumActiveWeb/REST/SOAP
40035Hidden File Finder 538A05:2021mediumActiveWeb/REST/SOAP
40038Bypassing 403 未指定A01:2021mediumActiveWeb/REST/SOAP
40039Web Cache Deception 未指定A05:2021mediumActiveWeb/REST/SOAP
40040CORS Header 942A01:2021high, medium, informationalActiveWeb/REST
40042Spring Actuator Information Leak215A01:2021mediumActiveWeb/REST/SOAP
40044Exponential Entity Expansion (Billion Laughs Attack)776A04:2021mediumActiveWeb/REST/SOAP
40045Spring4Shell78A03:2021, A06:2021highActiveWeb/REST/SOAP
90001Insecure JSF ViewState 642A04:2021mediumPassiveWeb/REST/SOAP
90002Java Serialization Object 502A04:2021mediumPassiveWeb/REST/SOAP
90003Sub Resource Integrity Attribute Missing 345A05:2021mediumPassiveWeb/REST/SOAP
90004Insufficient Site Isolation Against Spectre Vulnerability 693A04:2021lowPassiveWeb/REST/SOAP
90005Fetch Metadata Request Headers352未指定informationalPassiveWeb/REST
90011Charset Mismatch 436未指定informationalPassiveWeb/REST/SOAP
90017XSLT Injection 91A03:2021mediumActiveWeb/REST/SOAP
90019Server Side Code Injection 94A03:2021highActiveWeb/REST/SOAP
90020Remote OS Command Injection 78A03:2021highActiveWeb/REST/SOAP
90021XPath Injection 643A03:2021highActiveWeb/REST/SOAP
90022Application Error Disclosure 200A05:2021mediumPassiveWeb/REST/SOAP
90023XML External Entity Attack 611A03:2021highActiveWeb/REST/SOAP
90024Generic Padding Oracle 209A02:2021highActiveWeb/REST/SOAP
90025Expression Language Injection917A03:2021highActiveWeb
90028Insecure HTTP Method 200A05:2021mediumActiveWeb/REST/SOAP
90030WSDL File Detection 未指定A05:2021informationalPassiveWeb/REST/SOAP
90033Loosely Scoped Cookie 565A08:2021informationalPassiveWeb/REST/SOAP
90034Cloud Metadata Potentially Exposed 未指定A05:2021highActiveWeb/REST/SOAP
90035Server Side Template Injection94未指定highActiveWeb/REST
90036Server Side Template Injection (Blind)74未指定highActiveWeb/REST
110001Application Error Disclosure via WebSockets 209未指定mediumPassiveWeb/REST/SOAP
110002Base64 Disclosure in WebSocket message 未指定未指定informationalPassiveWeb/REST/SOAP
110003Information Disclosure - Debug Error Messages via WebSocket 200未指定lowPassiveWeb/REST/SOAP
110004Email address found in WebSocket message 200未指定informationalPassiveWeb/REST/SOAP
110005Personally Identifiable Information via WebSocket 359未指定highPassiveWeb/REST/SOAP
110006Private IP Disclosure via WebSocket 未指定未指定lowPassiveWeb/REST/SOAP
110007Username Hash Found in WebSocket message 284未指定informationalPassiveWeb/REST/SOAP
110008Information Disclosure - Suspicious Comments in XML via WebSocket 200未指定informationalPassiveWeb/REST/SOAP
111001HTTP Verb Tampering (Parasoft proprietary rule)287A07:2021mediumActiveWeb/REST

Burp Suite との統合

SOAtest は、侵入テストを行うために、事前に設定された OWASP ZAP のインスタンスを内部で使用しています。また、Burp Suite Extension を利用することで、商用ツールである Burp Suite for penetration testing を侵入テストで使用することもできます。



  • No labels