脆弱性診断のリクエスト数とは

気になったので２点質問させてもらいます。

１．リクエスト数の単位について
脆弱性の診断サービスが多々あるかと思います。
一般的に？リクエスト数を脆弱性の工数算出時に使うようなのですが、
脆弱性診断に置けるリクエスト数とは具体的にどう数えるのでしょうか？

例えば
検索条件（パラメータ）が１０個配置され、検索ボタンを押すと別の画面（URL）に結果が画面に表示される
といったものを診断する場合、
リクエスト数はどう数えるのでしょうか？

画面にアクセスした際を１リクエスト、
画面の検索条件１０個全て入力して検索ボタンを押した時に１リクエスト、
結果画面で１リクエストの
合計３リクエストと数えるのでしょうか？

それとも検索条件の１０個を１０リクエストと数え、
合計１２リクエストと数えるのでしょうか？

２．リクエストの数える手段について
脆弱性診断前に見積もりを作成する際にリクエスト数を数える必要があるかと思いますが、
それはページを参照して手で数えているのでしょうか？
それとも脆弱性ツールで自動で数えることができるのでしょうか？

以上２点についてご教授いただけると助かります。

行動規範の内容に同意します

回答2件

ベストアンサー

診断会社を経営するものです。以下は一般論でして、会社によって差異はあると思います。

検索条件（パラメータ）が１０個配置され、検索ボタンを押すと別の画面（URL）に結果が画面に表示される
といったものを診断する場合、
リクエスト数はどう数えるのでしょうか？

一般的には、2リクエストだと思います。入力フォームで 1 リクエスト、フォームの送信先(action)で 1リクエストですね。入力フォームが単なるHTMLで動的要素がない場合は、action先のみで 1 リクエストと数える場合もあると思います。

脆弱性診断前に見積もりを作成する際にリクエスト数を数える必要があるかと思いますが、
それはページを参照して手で数えているのでしょうか？
それとも脆弱性ツールで自動で数えることができるのでしょうか？

ここは会社によって差があると思います。弊社は手で数えています…といっても、ツールをまったく使わないわけではないですが。
画面を巡る作業のことをクローリングといいますが、実は結構自動化の難しいところでして、診断はツールで行う場合でも、クローリングはツールの機能を使わずに手でやった方がよいと言われています。
極論すると、クイズのアプリを例にとると、クイズに正答しないと正答した際の画面には到達できないですよね。そこまで極端でなくても、使い方を習熟しないと先の画面に進めないウェブアプリは多いです。

他の方法としては、

お客様からお預かりした画面一覧表や画面遷移図から割り出す…けっこう差異がでる場合が多いです
A社が見積もり時に作成したリクエスト一覧をお客がB社に横流しして、相見積もりを依頼する…なんてのもきっとあると思いますが、辞めて欲しいなーと思いますね。

投稿2018/03/19 12:14

編集2018/03/19 12:16

ockeghem

総合スコア11705

ny-au

2018/03/22 06:21

ockeghemさん、ご返信ありがとうございます。その道のプロの方から回答いただけると思っていませんでした。教えていただくまで『一般論』の情報が中々見つからず、 ockeghemさんに回答いただいたことですっきりしました。手でカウントするのは大変ですね。。ツールでリクエストをカウントできない（クローリング）部分は、色々と調べてみたところ、例えばスクリプト周り？であると勝手ながら推察いたしました。お礼が後になってしまいましたが、非常にわかりやすい内容で勉強になりました。ありがとうございます！

行動規範の内容に同意します

すいません、これは興味のある脆弱性診断サービスの会社に実際に問い合わせされたほうがよいと思います。
自分もある会社に依頼しましたが、営業さんがしっかりと対応していただけましたので。

投稿2018/03/17 04:02

bassbone

総合スコア767

ny-au

2018/03/19 01:35 編集

bassboneさん、ご返信ありがとうございます。今回の質問は実際に診断を依頼するというわけではなく、セキュリティに興味がわき、色々なサービスを見たところ質問に至った次第です。もし差し支えなければ詳細な内容でなくても構いませんので、 bassboneさんがご依頼された時に知りえた情報から質問１，２片方だけでも構いませんので回答になりうる情報を教えていただけると嬉しいです。