セキュリティの観点での apache httpd.conf の設定ポイント - end0tknrのkipple - web写経開発
↑こちらの以前のエントリに関連しますが、セキュリティを考慮したWEBサーバに設定したとしても、その設定内容はテスト(チェック)したいですよね?
なので、無償で利用できるネットワーク?セキュリティ診断ツールを調べてみました。
Nikto2
https://cirt.net/Nikto2
perlで書かれており、apacheのversion , cookieのhttponly , crossdomain.xml , TRACEメソッド 等々、数千の項目をチェックしてくれます。
http://www.atmarkit.co.jp/ait/articles/0803/05/news149.html
利用方法は、@it の記事に記載されている通りですが、次のように実行します。
(ファイルの取得だけで、install自体は不要です)
$ wget wget http://www.cirt.net/nikto/nikto-current.tar.gz $ tar -xzvf nikto-current.tar.gz $ cd nikto-2.1.5 $ perl nikto.pl -update #最新のテストパターン入手 $ perl nikto.pl -host https://www.example.com #↑こちらのnikto.plの実行により発見された脆弱性が表示されます
Qualys SSL LABS の SSL Server Test
https://www.ssllabs.com/ssltest
こちらは、SSLに特化したセキュリティ診断WEBアプリで、url (ホスト名)を指定するだけで、評価してくれます
WEBアプリケーション診断なら OWASP ZAP (Zed Attack Proxy)
https://www.owasp.org
先程のNikto2やSSL Server Testは、webサーバ(apache)やssl等のMWを中心とした診断を行いますが、XSSやSQL Injection、CSRFに関しては、OWASP ZAP が使えそうです
http://www.websec-room.com/2013/04/06/835
OWASP ZAPの日本語情報は、例えば、次のurl(といってもpdfですが)が参考になりますし、「OWASP ZAP」でインターネット検索しても多くの情報を得られます。
https://www.owasp.org/images/1/1e/OTGv3Japanese.pdf
http://www.ipa.go.jp/files/000035859.pdf
OWASP ZAP マニュアル Ver.2.1.0版 (pdf)
https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg
今回、OWASP ZAPはそれ程、試していませんが、プロキシ設定することで認証が必要なサイトの診断をできることには驚きました
http://www.lancork.net/2014/06/owasp-zap-request-replication-2/
2015/5/2追記
owasp zap 2.4?から追加されたAttack modeの使用法が分かりやすくまとめられています
ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法 - Web Application Security Memo
2015/1/18追記
脆弱性チェックツール(スキャナ?)を網羅的にまとめている方を発見。今回、アプリケーション診断は実施していませんが、実際に行う際には是非、参考にしたいです
セキュリティ診断ツール - 情報セキュリティWiki - セキュアなWebアプリケーション構築のために
サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ - naoeの日記
