ウェブサイトにおける脆弱性検査手法の紹介
発行機関:IPA
発行年月日:2013年12月
https://www.ipa.go.jp/files/000035859.pdf
2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストをかけずに脆弱性の診断ができるように、オープンソースの脆弱性検査ツールについて、特徴や使い勝手をまとめています。
脆弱性診断ツール一覧
タイプ | ツール名 | 検査対象 | 特徴 |
手動検査 | Paros | Webアプリ | 脆弱性検査に脆弱性を検出するコードの知識が必要となる |
手動検査 | WebScrab | Webアプリ |
セッションIDの詳細な調査ができる。 セッション系の脆弱性検査に強みがある。 |
自動検査 | OWASP ZAP | Webアプリ | 日本語に対応しており、検査が容易にできる |
自動検査 | skipfish | Webアプリ | CUIによる操作のため、上級者向け |
自動検査 | OpenVAS |
Webアプリ ミドルウェア OS |
Nessusから派生したオープンソースツール |
自動検査 | Nikto |
Webアプリ ミドルウェア |
Webアプリの脆弱性やポートの稼働状況等を 容易に検査できる |
通信監視型 | Ratproxy | Webアプリ |
検査コードを送信しない。 環境に影響を与えずに検査ができる |