skipfish - SecuDiary
Google製のActive Webアプリケーションスキャナ。コマンドラインのスキャナだが、自動的にクロールしてSQLインジェクションやXSSを検知できるそうだ。Cで書かれているから高速だとか、使い方が簡単とかの特徴がある。 手元のCentOSでコンパイルしてみたところ、それほど手間がかからずバイナリができた。*1 試しに以下のようなオプションを付けて、DVWAに対してスキャンしてみた。 ./skipfish -o dvwa -W dictionaries/default.wl http://192.168.xx.xx/dvwa/ そうすると、ものすごい早さでクロールとスキャンが走りだしコンソールはこんな感じに。 スキャンが終わるとレポートが出力されるので、ブラウザで表示すると以下の3種類の見方で結果が表示される。 Crawl results Document type overview
無償のPC導入ソフトぜい弱性検査ツールを評価する
ある企業のシステム管理者から『家庭用のパソコンは,家族と共用しているため子供が勝手にソフトウエアをインストールすることがある。しかし,セキュリティ的にぜい弱性があるものは放置できないので,タイムリーにレベルアップやパッチを適用したい。簡単で手間をかけずに,自分が知らずにインストールされたソフトも含めてぜい弱性の存在を検出するツールはないか』と相談を受けました。 以前のコラムで述べたように,私自身は「自分が使う個人所有パソコンは,できる限り家族とは共有しない」ことを勧めています。しかしその一方で,家族が個々にパソコンを持てば,家庭内にパソコンが増え,継続的に実施しなければならないメンテナンスの手間が増えてしまうことも事実です。パターン・ファイルの最新化やOSのパッチ適用はまだしも,そのパソコンに自分が知らないうちにインストールされた数多くのソフトウエアを含めて,そのぜい弱性を検出することは非
セキュリティでもOSSならココまでできる--セキュリティ関連OSS成熟度評価
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本OSS推進フォーラムはこのほど、セキュリティ分野でのオープンソースソフトウェア(OSS)の成熟度を評価した「セキュリティ関連OSSの成熟度評価」(Ver 1.0)を公表した(PDF形式)。同フォーラムのサーバ部会に設置されているセキュリティタスクフォース(TF)によって作成されている。 この文書は、「セキュリティ分野でOSSがどの程度カバーしているのか、どこをカバーしていないのかを明確にする」(主査を務める、サイオステクノロジーの面和毅氏)という目的で、商用製品とOSSでそれぞれカバーしている範囲を明確化している。 たとえば、侵入検知システム(IDS)では商用製品として「ISS Real Secure Network Sensor」
Wikto: Web Server Assessment Tool
Have you registered? Register (free,instant) for full access click here If you find Wikto usefull you might also want to look at our other projects - CrowBar and BiDiBLAH What's new in Version 2.0.2924-24997 ? 0. Fixed bug when starting SPUD via Wizard or Wikto interface. Download Wikto v2.0.2924-24997 (installer)| registration required What's new in Version 2.0.2924-23531 ? 0. Fixed bug
2008-11-02
ちょっと作成したWebアプリケーションに脆弱性があるかをきちんとチェックしないといけない羽目になったので調べてみた. 出来ればフリーで,無ければ有償でもいいので.いや,やっぱりフリーで... 調べて実際にインストールや使ってみた順に載せてみます. Nessus http://www.nessus.org/nessus/ フリーでは一番使いやすいサーバ脆弱性診断ツールかな.有名だし. でもサーバの脆弱性診断という位置づけが強い MultiInjector released - automatic parallel website Injector / Defacer http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector-released-automatic.html Pythonの2.4以上で動作 Windowsでも使
OpenVASを使ったセキュリティ監査 | OSDN Magazine
セキュリティはもちろん重要だが、絶えず最新の対策を用意することは難しく、脆弱性のチェックをネットワーク全体に対して行うのは非常に面倒でもある。よって、そうしたテストを自動化し、なおかつ最も適切な最新のテストを実行できる方法が必要になる。 Open Vulnerability Assessment System (OpenVAS)は、セントラルサーバとGUIフロントエンドからなるネットワークセキュリティスキャナである。OpenVASサーバは、Nessus Attack Scripting Language(NASL)で書かれた何種類ものネットワーク脆弱性テスト(NVT)を実行できる。また、こうしたテストはOpenVASプロジェクトによって頻繁に更新されている。 OpenVASは、Nessusスキャナの以前のバージョン2.2から派生したプロジェクトである。3年ほど前、NessusはGPLを放棄
フリーで使えるセキュリティスキャナ・ツールまとめ
これで、インストールしたマシンの8080番ポートをプロキシとして指定して、チェックしたいサイトをブラウジングするだけです。 絶対に自分で管理していないサイトに対して実行しないでください。 こうしてできた、hoge.log を同梱のratproxy-report.shで解析すれば、レポートがHTMLとして出力されます。 レポートのHTMLもスクリーンショットも公開されています。 その他のプロキシ型スキャナ その他にもプロキシ型のスキャナは色々とあるのですが、RatProxyのドキュメントページに自分が調べたものは大体記述されていました。なので、簡単に触れるにとどめておきます。 1. WebScarab 2. Paros 3. Burp 4. ProxMon 5. Pantera 6. Chorizo! それぞれのプログラムについて、検索すれば使い方はわりと簡単にわかると思います。また、Pro
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
