Rails アプリケーションの脆弱性を発見し検証するためのセキュリティテストガイドです。脆弱性ごとに観点と手法を解説します。
- 静的テスト(ソースコードレビュー)による脆弱性の発見
- 動的テスト(脆弱性診断)による脆弱性の検証
Railsでアプリケーション開発をしている組織のセキュリティテスターを想定しています。Railsのソースコードをある程度読めるスキルが必要です。
セキュリティテスター以外でも、脆弱性を作りこみたくない Rails アプリ開発者やQA部門のテスターにも役立つかもしれません。
番号は OWASP Testing Guide に合わせています。
- 前提知識
- 4.01 情報収集
- 4.04 認証
- 4.05 認可
- 4.06 セッション管理
- 4.07 入力値の取り扱い
- 4.08 エラーハンドリング
- 4.10 ビジネスロジック
- 4.11 クライアントサイド
- 4.99 未分類