サーバのセキュリティチェックツール
Niktoとは?
Nikto (ニクトと読むらしい)は、オープンソースのセキュリティ診断ツールで、XSSなどのアプリ上に潜む問題から、ミドルウェアの設定など、多くのセキュリティ上問題となるであろう項目に対してチェックを行ってくれます。
Perlでかかれており、プラグインを独自に拡張する事も可能になっています。
Niktoの使い方
まずは、本家サイト からNiktoのソースをダウンロードし、サーバー上に展開します。
展開したディレクトリ内に、nikto.plファイルがありますので、それを実行するだけです。
実行するにあたっては、様々なオプションを指定することが出来ます。
# perl nikto.pl -h Option host requires an argument
- Nikto 2.02/2.03 - cirt.net
+ ERROR: No host specified -Cgidirs+ scan these CGI dirs: 'none', 'all', or values like "/cgi/ /cgi-a/" -dbcheck check database and other key files for syntax errors (cannot be abbreviated) -evasion+ ids evasion technique -Format+ save file (-o) format -host+ target host -Help Extended help information -id+ host authentication to use, format is userid:password -mutate+ Guess additional file names -output+ write output to this file -port+ port to use (default 80) -Display+ turn on/off display outputs -ssl force ssl mode on port -Single Single request mode -timeout+ timeout (default 2 seconds) -Tuning+ scan tuning -update update databases and plugins from cirt.net (cannot be abbreviated) -Version print plugin and database versions -vhost+ virtual host (for Host header) + requires a value
基本的な使い方としては、このような感じ。
# perl nikto.pl -host http://192.168.0.100 -o output.txt --------------------------------------------------------------------------- - Nikto 2.02/2.03 - cirt.net + Target IP: 192.168.0.100 + Target Hostname: 192.168.0.100 + Target Port: 80 + Start Time: 2008-07-12 17:12:54 ---------------------------------------------------------------------------
Andiparos
Andiparos is a fork of the famous Paros Proxy. It is an open source web application security assessment tool that gives penetration testers the ability to spider websites, analyze content, intercept and modify requests, etc. Parosより派生したツールです。あれこれ改良されています。2010年11月9日現在の最新安定版はバージョン1.0.4です。
skipfish - Project Hosting on Google Code
Google製のWebアプリケーション診断ツールです。 High speed」で「Ease of use」、かつ、「Cutting-edge security logic」だそうで。
Burp Suite
ローカルプロキシとして機能する診断ツールです。 2008年12月20日現在の最新版はversion 1.2です。
Cross Site Scripting scanner – Free XSS Security Scanner
Acunetix社のWebアプリケーション脆弱性診断ツール"Acunetix Web Vulnerability Scanner"のFree Editionです。 ツール評価用のテストサイトが提供されています。 お値段はAcunetix Web Vulnerability Scanner: Pricingにあります。
ratproxy - Google Code
インストールや使用方法はGoogle Ratproxy - Part 1 (Building Ratproxy in Windows)とGoogle Ratproxy - Part 2 (Running and Using Ratproxy)を参照してください。 英語ですが、特に難しい表現はないと思います。 Googleが作ったWebセキュリティ・ツール「ratproxy」:ITpro ツールの特徴が日本語で詳細に解説されています。 Windows上で動かすにはCygwinが必要です。 こちらの解説は、Untitled: CygwinやCygwin に関する予備知識がわかりやすいと思います。 ただ、どちらも更新されていないようなので、最新のCygwin事情にマッチしない記事があるかもしれません。私はとりあえず困っていないので、最近のCygwin事情を追っかけていません。あしからず。 インストールや使用方法についてご質問がありましたら、お気軽にこちらでお問い合わせください。
Nikto | CIRT.net
診断対象にWebアプリケーションを見つけたら、このツールで基本的かつ網羅的な検証を。Nikto - 唯我独尊にてツールの解説を作成中です。
Wikto: Web Server Assessment Tool
GUIでNiktoな診断を行うツール。
Category:OWASP Pantera Web Assessment Studio Project - OWASP
インストールが結構面倒。なんとなく進めたら動きませんでした。。。 2008/07/23追記:Windows用インストーラが公開されています。 インストール顛末記はこちら。
Grabber! Like a Petit Pimouss':
動作が軽快、かつ、カスタマイズしやすそうです。ただ、サイトにも記述がありますが、大規模なサイトの診断には不向きなようです。
Crowbar: Generic Web Brute Force Tool
総当り攻撃検証ツール。
その他ツールのリンク情報 http://d.hatena.ne.jp/naoe/20081102