BitArts Blog

ロードバイク通勤のRubyプログラマで伊豆ダイバー。の個人的なブログ。

「Whitetip」Webアプリケーション脆弱性スキャナ

image 現在わが社で元気な自社製品と言えば、EagleRay CMS。なんだけど、実は他にも、表立って販売してはいないけど、仕事上非常に活用されている裏の製品ってのも存在します。

そのひとつが、「BitArts Whitetip」。

SQLインジェクション」や「クロスサイトスクリプティング」をはじめとする、Webアプリケーションのセキュリティホールを見つけるためのツールです。

同種のツールとしては、AppScanをはじめとして数種存在するんだけど、どれも価格が高すぎる。開発規模がせいぜい数百万円程度までの中小規模アプリケーションでは、なかなか使うことができません。しかし、セキュリティ対策はどんな規模のアプリケーションでも必要です。フリーのものではParosなどもありますが、機能が限られている。

そこで、自分で作っちゃったのがWhitetip。この2、3年でセキュリティ診断の仕事において中小はもとより大手Webサイトのセキュリティホールをいくつも発見してきた実績あり。

シンプルな実装だけ作って長らく使ってきていたんだけど、ここへきて(今回仕事の検査対象がちょっと手強いこともあったので)、現在すごい勢いでバージョンアップ実施中です。

いまのところはGUIすらついていない殺風景なツールですが、仕事を支える強力な道具です。今後、公開もしくは一般販売するかどうかはまだ未定だけど。

2010/10/4追記) Whitetipの無償版の配布を開始しました!