Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Acunetix使ってみた/Try_used_Acunetix
Search
elmore
June 18, 2018
0
70
Acunetix使ってみた/Try_used_Acunetix
elmore
June 18, 2018
Tweet
Share
More Decks by elmore
See All by elmore
OWASP JUICE SHOPで始める脆弱性(診断)/ Learn vulnerabilities at OWASP JUICE SHOP
elmore
1
1.7k
Featured
See All Featured
The Straight Up "How To Draw Better" Workshop
denniskardys
234
140k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.8k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
6
300
The Language of Interfaces
destraynor
158
25k
Music & Morning Musume
bryan
46
6.6k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.4k
Embracing the Ebb and Flow
colly
86
4.7k
Practical Orchestrator
shlominoach
189
11k
Optimizing for Happiness
mojombo
379
70k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
50
5.5k
Transcript
Acunetix使ってみた 2018/6/18 えるもあ
Acunetixとは • Webの脆弱性スキャナー ◦ 基本的には自動で検査を行う ▪ これが売りっぽい ◦ FW/CMS/MW含め幅広い脆弱性を検査 してくれる
◦ 多分Pythonで動いてる ◦ 検知率向上の隠し味がある
どう使う? • 始点のURL入力して1クリックでOK ◦ VAddyに似ている感じ • Issue Tracker(GitHub, JIRA, TFS)と連携で
きたり • SAZや、HAR、Selenium Scriptなどからク ロールの設定ができる ◦ 自動クロールもある
None
ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??
None
None
ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??
XVWAをスキャンしてみた • 一番早い設定だと恐ろしい速さでリクエスト 投げてる ◦ コネクション数はちゃんと制限しているみ たい • シグネチャ多くね ◦
某国産よりはるかに多く感じる ▪ 見られないので比較はできないけど
結果は...
None
None
None
シグネチャは? • かんたんには見せてくれない ◦ 某国産はプレーンテキストで置いてある のにね ◦ DOM XSSのシグネチャっぽいのは暗号 化されてた
◦ シグネチャはどこに保存しているか探索 中
None
使える? • 使えるけど、ちょっと不安? ◦ SQLi見落としてる ▪ クロール設定がイケてないかも? ◦ 検査ログが見えない ▪
間にProxy挟めば解決? ◦ 開発者にとってはすごく使いやすいかも
某国産と比較して 後日掲載するかも。。。