Rule Security Analyzerツール
Rule Security Analyzerツールは、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの攻撃に対する脆弱性をもたらす可能性のある、アプリケーションの潜在的なセキュリティリスクを特定します。
このような脆弱性は、通常、ストリームルール(HTML、JSP、XML、またはCSS)やカスタムJavaまたはSQLステートメントなど、自動生成されないルールでのみ発生する可能性があります。
Rule Security Analyzerは、自動生成されていないルールをスキャンし、各行を正規表現ルールと比較して一致するものを検索します。 このツールは、関数ルールのテキスト、HTML、JavaScript、およびJavaコードと、ルールタイプに応じて個々のActivity(アクティビティ)Javaメソッドステップなどの情報を調査します。
Rule Security Analyzerは、Rule Analyzer Regular Expressionルールで定義された正規表現(regex)に一致するものを検索することでコードの脆弱性を検索します。 一般的な脆弱性を検出するための例として、いくつかのRule Analyzer Regular Expressionルールが用意されています。 また、その他のパターンを検索するためのRule Analyzer Regular Expressionルールを作成することもできます。
脆弱性の最も効果的な検索方法は、Rule Analyzerを何度か再実行し、毎回異なる正規表現ルールと一致させます。
ルールがロックされる前にルールの問題を特定して修正できるため、ルールセットをロックする前にRule Security Analyzerを実行することが推奨されます。 Rule Security Analyzerでは、異なる正規表現経由での実行には数分かかります。
Rule Security Analyzerの詳細については、以下のヘルプドキュメントを参照してください。「Rule Security Analyzer」、「Searching for security vulnerabilities in rules」、「Regular Expression rules」。
このトピックは、下記のモジュールにも含まれています。
- セキュリティリスクの低減 v3