Changes between Initial Version and Version 1 of サーバセキュリティチェックツール関連


Ignore:
Timestamp:
Nov 7, 2016, 10:52:27 AM (8 years ago)
Author:
admin
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • サーバセキュリティチェックツール関連

    v1 v1  
     1
     2= サーバのセキュリティチェックツール =
     3
     4http://www.cirt.net/nikto2
     5
     6Niktoとは?
     7
     8Nikto (ニクトと読むらしい)は、オープンソースのセキュリティ診断ツールで、XSSなどのアプリ上に潜む問題から、ミドルウェアの設定など、多くのセキュリティ上問題となるであろう項目に対してチェックを行ってくれます。
     9
     10Perlでかかれており、プラグインを独自に拡張する事も可能になっています。
     11
     12
     13Niktoの使い方
     14
     15まずは、本家サイト からNiktoのソースをダウンロードし、サーバー上に展開します。
     16
     17展開したディレクトリ内に、nikto.plファイルがありますので、それを実行するだけです。
     18
     19実行するにあたっては、様々なオプションを指定することが出来ます。
     20
     21# perl nikto.pl -h
     22Option host requires an argument
     23---------------------------------------------------------------------------
     24- Nikto 2.02/2.03 - cirt.net
     25+ ERROR: No host specified
     26-Cgidirs+ scan these CGI dirs: 'none', 'all', or values like "/cgi/ /cgi-a/"
     27-dbcheck check database and other key files for syntax errors (cannot be abbreviated)
     28-evasion+ ids evasion technique
     29-Format+ save file (-o) format
     30-host+ target host
     31-Help Extended help information
     32-id+ host authentication to use, format is userid:password
     33-mutate+ Guess additional file names
     34-output+ write output to this file
     35-port+ port to use (default 80)
     36-Display+ turn on/off display outputs
     37-ssl force ssl mode on port
     38-Single Single request mode
     39-timeout+ timeout (default 2 seconds)
     40-Tuning+ scan tuning
     41-update update databases and plugins from cirt.net (cannot be abbreviated)
     42-Version print plugin and database versions
     43-vhost+ virtual host (for Host header)
     44+ requires a value
     45
     46基本的な使い方としては、このような感じ。
     47
     48{{{
     49# perl nikto.pl -host http://192.168.0.100 -o output.txt
     50---------------------------------------------------------------------------
     51- Nikto 2.02/2.03 - cirt.net
     52+ Target IP: 192.168.0.100
     53+ Target Hostname: 192.168.0.100
     54+ Target Port: 80
     55+ Start Time: 2008-07-12 17:12:54
     56---------------------------------------------------------------------------
     57}}}
     58
     59Andiparos
     60{{{
     61Andiparos is a fork of the famous Paros Proxy. It is an open source web application security assessment tool that gives penetration testers the ability to spider websites, analyze content, intercept and modify requests, etc.
     62Parosより派生したツールです。あれこれ改良されています。2010年11月9日現在の最新安定版はバージョン1.0.4です。
     63}}}
     64
     65skipfish - Project Hosting on Google Code
     66{{{
     67Google製のWebアプリケーション診断ツールです。
     68High speed」で「Ease of use」、かつ、「Cutting-edge security logic」だそうで。
     69}}}
     70
     71Burp Suite
     72{{{
     73ローカルプロキシとして機能する診断ツールです。
     742008年12月20日現在の最新版はversion 1.2です。
     75}}}
     76
     77Cross Site Scripting scanner – Free XSS Security Scanner
     78{{{
     79Acunetix社のWebアプリケーション脆弱性診断ツール"Acunetix Web Vulnerability Scanner"のFree Editionです。
     80ツール評価用のテストサイトが提供されています。
     81お値段はAcunetix Web Vulnerability Scanner: Pricingにあります。
     82}}}
     83
     84ratproxy - Google Code
     85{{{
     86インストールや使用方法はGoogle Ratproxy - Part 1 (Building Ratproxy in Windows)とGoogle Ratproxy - Part 2 (Running and Using Ratproxy)を参照してください。
     87英語ですが、特に難しい表現はないと思います。
     88
     89Googleが作ったWebセキュリティ・ツール「ratproxy」:ITpro
     90ツールの特徴が日本語で詳細に解説されています。
     91   Windows上で動かすにはCygwinが必要です。
     92        こちらの解説は、Untitled: CygwinやCygwin に関する予備知識がわかりやすいと思います。
     93        ただ、どちらも更新されていないようなので、最新のCygwin事情にマッチしない記事があるかもしれません。私はとりあえず困っていないので、最近のCygwin事情を追っかけていません。あしからず。
     94        インストールや使用方法についてご質問がありましたら、お気軽にこちらでお問い合わせください。
     95}}}
     96
     97Nikto | CIRT.net
     98{{{
     99診断対象にWebアプリケーションを見つけたら、このツールで基本的かつ網羅的な検証を。Nikto - 唯我独尊にてツールの解説を作成中です。
     100}}}
     101
     102Wikto: Web Server Assessment Tool
     103{{{
     104GUIでNiktoな診断を行うツール。
     105}}}
     106
     107Category:OWASP Pantera Web Assessment Studio Project - OWASP
     108{{{
     109 インストールが結構面倒。なんとなく進めたら動きませんでした。。。
     110 2008/07/23追記:Windows用インストーラが公開されています。
     111 インストール顛末記はこちら。
     112}}}
     113
     114Grabber! Like a Petit Pimouss':
     115{{{
     116動作が軽快、かつ、カスタマイズしやすそうです。ただ、サイトにも記述がありますが、大規模なサイトの診断には不向きなようです。
     117}}}
     118
     119Crowbar: Generic Web Brute Force Tool
     120{{{
     121総当り攻撃検証ツール。
     122}}}
     123
     124その他ツールのリンク情報
     125http://d.hatena.ne.jp/naoe/20081102
     126