cloudpackブログ - AWS対応WAF InfoCage SiteShell Skipfish番外編
以前紹介したAWS対応WAF InfoCage SiteShell インストール編の記事でWAFのインストールと簡単な実験まで試してみました。 そこで次は、管理サーバをたてた管理編を書こうと思ったのですが、以前Skipfishで脆弱性診断を試したskipfishでWebアプリのセキュリティ診断の記事を思い出しこのSiteShellにも仕掛けてみることにしました。 Skipfishのバージョンが色々と上がっていたため、インストール(CentOS6)から再度確認してみます。 まずは、必要なパッケージのインストールです。 # yum -y install openssl-devel # yum -y install pcre-devel # yum -y install libidn-devel 次に、Skipfish, version 2.09 beta – web application s
cloudpackブログ - skipfishでログイン後のページのセキュリティ診断
skipfishを早く終了させるためにの記事で、skipfishを現実的なスピードで実施できるようになったので、今回は、ログイン後のページに対してもセキュリティ診断をしてみます。 方法は、ログイン後の埋めこまれているCookieをskipfish実行時に指定するのみになります。 Cookieの確認は下記のようにChromeなどのブラウザで行うことができます。 上記で確認した、ログイン維持に利用しているCookieを、下記のようにskipfish実行時に指定(-C CAKEPHP=xxxxxxxxxxxxxxxxxxxxxxxxxx)します。 # ./skipfish -LVY -W /dev/null -C CAKEPHP=xxxxxxxxxxxxxxxxxxxxxxxxxx > -X /login -X /logout -o portal-auth http://www.suz-lab.
cloudpackブログ - skipfishを早く終了させるために
以前、skipfishでWebアプリのセキュリティ診断の記事にてskipfishを利用したセキュリティ診断の方法を紹介しました。 しかし、このskipfishは実際に利用してみると診断に時間がかかり、なかなか終了しません。 そこで、アクセスログ等でアクセス内容を確認してみると、延々と、膨大な辞書ファイル上のキーワードに対して、それらをファイル名としたURLのチェックをしていました。 このURLチェックは、実行時間を考えると現実的ではないので、下記のようなオプションで、このチェックを行わないようにすることができます。 ./skipfish -LVY -W /dev/null -o admin http://www.suz-lab.com/ オプションは下記の通りです。 -L: do not auto-learn new keywords for the site -V: do not upd
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
cloudpackブログ - スピンオフ・サービスに『セキュリティ診断職人』を追加しました
