読者です 読者をやめる 読者になる 読者になる

end0tknr's kipple - 新web写経開発

http://d.hatena.ne.jp/end0tknr/ から移転します

無料のWEBサーバ&アプリケーション(apache, http/https)セキュリティ診断ツール

セキュリティの観点での apache httpd.conf の設定ポイント - end0tknrのkipple - web写経開発
↑こちらの以前のエントリに関連しますが、セキュリティを考慮したWEBサーバに設定したとしても、その設定内容はテスト(チェック)したいですよね?
なので、無償で利用できるネットワーク?セキュリティ診断ツールを調べてみました。

Nikto2

https://cirt.net/Nikto2
perlで書かれており、apacheのversion , cookieのhttponly , crossdomain.xml , TRACEメソッド 等々、数千の項目をチェックしてくれます。
http://www.atmarkit.co.jp/ait/articles/0803/05/news149.html
利用方法は、@it の記事に記載されている通りですが、次のように実行します。
(ファイルの取得だけで、install自体は不要です)

$ wget wget http://www.cirt.net/nikto/nikto-current.tar.gz 
$ tar -xzvf nikto-current.tar.gz 
$ cd nikto-2.1.5
$ perl nikto.pl -update   #最新のテストパターン入手
$ perl nikto.pl -host https://www.example.com
#↑こちらのnikto.plの実行により発見された脆弱性が表示されます

Qualys SSL LABS の SSL Server Test

https://www.ssllabs.com/ssltest
こちらは、SSLに特化したセキュリティ診断WEBアプリで、url (ホスト名)を指定するだけで、評価してくれます

WEBアプリケーション診断なら OWASP ZAP (Zed Attack Proxy)

https://www.owasp.org
先程のNikto2やSSL Server Testは、webサーバ(apache)やssl等のMWを中心とした診断を行いますが、XSSSQL Injection、CSRFに関しては、OWASP ZAP が使えそうです
http://www.websec-room.com/2013/04/06/835

OWASP ZAPの日本語情報は、例えば、次のurl(といってもpdfですが)が参考になりますし、「OWASP ZAP」でインターネット検索しても多くの情報を得られます。
https://www.owasp.org/images/1/1e/OTGv3Japanese.pdf
http://www.ipa.go.jp/files/000035859.pdf
OWASP ZAP マニュアル Ver.2.1.0版 (pdf)
https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg

今回、OWASP ZAPはそれ程、試していませんが、プロキシ設定することで認証が必要なサイトの診断をできることには驚きました
http://www.lancork.net/2014/06/owasp-zap-request-replication-2/

2015/5/2追記

owasp zap 2.4?から追加されたAttack modeの使用法が分かりやすくまとめられています
ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法 - Web Application Security Memo

2015/1/18追記

脆弱性チェックツール(スキャナ?)を網羅的にまとめている方を発見。今回、アプリケーション診断は実施していませんが、実際に行う際には是非、参考にしたいです
セキュリティ診断ツール - 情報セキュリティWiki - セキュアなWebアプリケーション構築のために
サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ - naoeの日記


こんなに簡単に脆弱性を発見できるこので、世の中のWEBサーバの脆弱性が、さらされなければ、良いんですがね