NECサイバーセキュリティ戦略本部セキュリティ技術センターの長浜です。今回は、脆弱性診断やペネトレーションテストの再現手順の共有に便利な「nuclei」について紹介いたします。 nuclei [1] は、シナリオファイルに基づいてターゲットをスキャンするツールです。本ツールは、ProjectDiscovery社がオープンソースで公開しているソフトウェアです。ライセンスはMIT licenseです。 本ツールのシナリオは最新の脆弱性も網羅されています。例えば、2021年10月に公開されたApache HTTP Serverの脆弱性の検出シナリオもすでに追加されています。 様々なファイル形式に出力可能 → markdownやjsonへの出力に対応 PoCが公開されている最新の脆弱性に対応 → 2021年10月18日時点でCVE-2021-41773 [2], CVE-2021-42013 [3