Webアプリケーション検査ツール
ツールを作成中なので、思いついたうちにやるべきことをちょっとメモ。
- データファイル操作クラスの作成
- 検査クラスの作成
- 検証クラスの作成
- 検査結果のデータ保管方法の検討
これだけじゃ他人にはわけわからんな。
アイデアとしてはこんな感じ。
- ブラウザのプロキシとして動かす
- 入力されたパラメータのデータを自由に加工、変更してサーバーに送れる
- 攻撃パターンのシグネチャデータベースを持ち、入力されたパラメータに対して攻撃パターンをデータとして与える
- 攻撃した結果を保存。これを人が解析する or 自動化できれば自動化する
まあ、上二つは他にもツールがあるんだが、下の2個が無いのでつくってるとこ。正確にはJAVAで作り直しているといったほうが正しいか?
Perl版はここにあったりする。(バギーだけど^^;)