家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

ウェブサイトにおける脆弱性検査手法の紹介の概要

ウェブサイトにおける脆弱性検査手法の紹介
発行機関:IPA
発行年月日:2013年12月

www.ipa.go.jp

https://www.ipa.go.jp/files/000035859.pdf

 

 

 

2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストをかけずに脆弱性の診断ができるように、オープンソースの脆弱性検査ツールについて、特徴や使い勝手をまとめています。

 

脆弱性診断ツール一覧 

タイプ ツール名 検査対象 特徴
手動検査 Paros Webアプリ 脆弱性検査に脆弱性を検出するコードの知識が必要となる
手動検査 WebScrab Webアプリ

セッションIDの詳細な調査ができる。

セッション系の脆弱性検査に強みがある。

自動検査 OWASP ZAP Webアプリ 日本語に対応しており、検査が容易にできる
自動検査 skipfish Webアプリ CUIによる操作のため、上級者向け
自動検査 OpenVAS

Webアプリ

ミドルウェア

OS

Nessusから派生したオープンソースツール
自動検査 Nikto

Webアプリ

ミドルウェア

Webアプリの脆弱性やポートの稼働状況等を

容易に検査できる

通信監視型 Ratproxy Webアプリ

検査コードを送信しない。

環境に影響を与えずに検査ができる