WhitetipBitArts Whtitetipは、Webシステムのセキュリティ上の欠陥を見つけることを支援するためのソフトウェアです。

このソフトウェアは、BitArtsが2004年より提供しているWebアプリケーション脆弱性検査支援サービスにおいて、自社で利用する作業支援ツールとして開発してきたものです。

この度、利用条件の制限付きではありますが、Webアプリケーションの品質向上のため、一般の開発者の皆様にご利用頂けるよう、Whitetip無償版を公開することにしました。

ダウンロード

BitArts Whitetip version 2.0.0 (2010/10/4)
for Windows (6.6MB)
MD5: c1d49951d0d04e05bf435623dcfdf62d

補足説明

追加記事があります。ご参照ください。

検査項目

  • クロスサイトスクリプティング(XSS)
  • SQLインジェクション
  • OSコマンドインジェクション
  • Webサーバのデフォルトファイル
  • HTTPレスポンス分割
  • ディレクトリブラウジング
  • リソース位置の推測
  • バッファオーバーフロー
  • フレームハイジャック
  • LDAPインジェクション
  • パストラバーサル
  • SSIインジェクション
  • 無効なcharset指定
  • ローカルIPアドレスディスクロージャ
  • パスディスクロージャ
  • エラーハンドリングの不備

※ 実験的な実装も含まれています。

無償版の制限事項

  • 開発者が開発したアプリケーションを自身で検査する目的での利用に限ります。他社、他人が開発したアプリケーションを検査する用途での利用は禁止します。
  • 検査対象はローカルネットワーク上のホストに限ります。
  • 処理ログ、結果データの出力内容を一部簡略化しています。
  • ユーザーサポートは提供されません。

有償版について

利用制限等を取り除いた有償版の提供予定については現在のところ未定です。

使用上の注意

検出結果について

本プログラムによる検出結果はセキュリティホール・脆弱性が存在する可能性を指摘するものですが、必ずしもすべての検出結果が脆弱性に該当するとは限りません。適切な対策がなされていて問題がない場合や、誤検出の場合もあります。また、存在するすべての脆弱性を検出するものでもありません。結果については、Webサイト開発者やセキュリティベンダーに相談されることをお勧めします。(無償版Whitetipは開発者本人のみが使用可能です)

検査対象について

検査対象のシステムがご自身の管理下であるか、または検査対象のシステムの管理責任者に本プログラムを実行する許可を得ていることを必ず確認してください。該当しない場合は絶対に実行しないでください。(無償版Whitetipは開発者本人のみが使用可能です)

他者のシステムに対して無許可で実行した場合、不正アクセス禁止法等の法令に抵触し、刑事罰および損害賠償請求の対象となる場合があります。

また、検査対象システムの状態によっては、本プログラム使用の結果、データ損失等の損害を与える場合があります。

本プログラムを使用した結果発生したいかなる問題に対しても、本プログラム開発者および販売会社等は、一切の責任を負いません。