Mozilla、Webアプリ脆弱性テストのためのデータベース「FuzzDB」を発表

末岡洋子
シェア

 Mozillaの開発者は8月16日、アプリケーションの脆弱性テスト(Fuzzテスト)に向けたさまざまなリソースを集めたデータベース「FuzzDB」をオープンソースで公開したことを発表した。Webアプリケーションのセキュリティテストなどさまざまな用途に利用できる可能性があるとしている。

 FuzzDBはアプリケーション脆弱性テスト向けのリソースを集めたデータベースで、攻撃パターンや予測可能なリソース名、サーバーリスポンスメッセージの正規表現パターン、ドキュメンテーションリソースなどを含む包括的なテストケースを収録している。

 Mozillaの開発者が個人的に収集したドキュメンテーションやリサーチメモが拡大してプロジェクトとなったもので、Webアプリケーションのペネトレーションテストのほか、自動スキャンツールなどの構築、HTTPセマンティック以外を利用するネットワークサービスのテスト、ISDとIPSのテストなど、さまざまな用途に利用できるという。商用製品ではアプリケーションの脆弱性テスト分野の研究開発が進んでいるが、これらの情報は知的所有権としてクローズドにされており、オープンソースのテストツールは不完全であるという問題意識から開始したと説明している。

 今後、未解決のバグ、一貫性のある名前構造、Webアプリケーション脆弱性テストツール「OWASP Zap」とMozillaのセキュリティテスト技術「Minion」との連携などの面を改善していく予定という。

 ライセンスはCreative Commons Attribution。データは常時追加されており、svn updateコマンドでローカルのレポジトリをアップデートできるという。

FuzzDB
https://code.google.com/p/fuzzdb/

Mozilla
http://www.mozilla.org/