質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

Q&A

解決済

2回答

8292閲覧

脆弱性診断のリクエスト数とは

ny-au

総合スコア12

Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

0グッド

4クリップ

投稿2018/03/16 16:52

気になったので2点質問させてもらいます。

1.リクエスト数の単位について
脆弱性の診断サービスが多々あるかと思います。
一般的に?リクエスト数を脆弱性の工数算出時に使うようなのですが、
脆弱性診断に置けるリクエスト数とは具体的にどう数えるのでしょうか?

例えば
検索条件(パラメータ)が10個配置され、検索ボタンを押すと別の画面(URL)に結果が画面に表示される
といったものを診断する場合、
リクエスト数はどう数えるのでしょうか?

画面にアクセスした際を1リクエスト、
画面の検索条件10個全て入力して検索ボタンを押した時に1リクエスト、
結果画面で1リクエストの
合計3リクエストと数えるのでしょうか?

それとも検索条件の10個を10リクエストと数え、
合計12リクエストと数えるのでしょうか?

2.リクエストの数える手段について
脆弱性診断前に見積もりを作成する際にリクエスト数を数える必要があるかと思いますが、
それはページを参照して手で数えているのでしょうか?
それとも脆弱性ツールで自動で数えることができるのでしょうか?

以上2点についてご教授いただけると助かります。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

診断会社を経営するものです。以下は一般論でして、会社によって差異はあると思います。

検索条件(パラメータ)が10個配置され、検索ボタンを押すと別の画面(URL)に結果が画面に表示される
といったものを診断する場合、
リクエスト数はどう数えるのでしょうか?

一般的には、2リクエストだと思います。入力フォームで 1 リクエスト、フォームの送信先(action)で 1リクエストですね。入力フォームが単なるHTMLで動的要素がない場合は、action先のみで 1 リクエストと数える場合もあると思います。

脆弱性診断前に見積もりを作成する際にリクエスト数を数える必要があるかと思いますが、
それはページを参照して手で数えているのでしょうか?
それとも脆弱性ツールで自動で数えることができるのでしょうか?

ここは会社によって差があると思います。弊社は手で数えています…といっても、ツールをまったく使わないわけではないですが。
画面を巡る作業のことをクローリングといいますが、実は結構自動化の難しいところでして、診断はツールで行う場合でも、クローリングはツールの機能を使わずに手でやった方がよいと言われています。
極論すると、クイズのアプリを例にとると、クイズに正答しないと正答した際の画面には到達できないですよね。そこまで極端でなくても、使い方を習熟しないと先の画面に進めないウェブアプリは多いです。

他の方法としては、

  • お客様からお預かりした画面一覧表や画面遷移図から割り出す…けっこう差異がでる場合が多いです

  • A社が見積もり時に作成したリクエスト一覧をお客がB社に横流しして、相見積もりを依頼する…なんてのもきっとあると思いますが、辞めて欲しいなーと思いますね。

投稿2018/03/19 12:14

編集2018/03/19 12:16
ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ny-au

2018/03/22 06:21

ockeghemさん、ご返信ありがとうございます。 その道のプロの方から回答いただけると思っていませんでした。 教えていただくまで『一般論』の情報が中々見つからず、 ockeghemさんに回答いただいたことですっきりしました。 手でカウントするのは大変ですね。。 ツールでリクエストをカウントできない(クローリング)部分は、 色々と調べてみたところ、 例えばスクリプト周り?であると勝手ながら推察いたしました。 お礼が後になってしまいましたが、 非常にわかりやすい内容で勉強になりました。 ありがとうございます!
guest

0

すいません、これは興味のある脆弱性診断サービスの会社に実際に問い合わせされたほうがよいと思います。
自分もある会社に依頼しましたが、営業さんがしっかりと対応していただけましたので。

投稿2018/03/17 04:02

bassbone

総合スコア767

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ny-au

2018/03/19 01:35 編集

bassboneさん、ご返信ありがとうございます。 今回の質問は実際に診断を依頼するというわけではなく、 セキュリティに興味がわき、色々なサービスを見たところ質問に至った次第です。 もし差し支えなければ詳細な内容でなくても構いませんので、 bassboneさんがご依頼された時に知りえた情報から 質問1,2片方だけでも構いませんので回答になりうる情報を教えていただけると嬉しいです。
bassbone

2018/03/19 12:16

ockeghemさんの回答を参考にしていただくのがよさそうです。
ny-au

2018/03/22 06:01

bassboneさん、時間を割いていただきありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問