Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Acunetix使ってみた/Try_used_Acunetix
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
elmore
June 18, 2018
0
71
Acunetix使ってみた/Try_used_Acunetix
elmore
June 18, 2018
Tweet
Share
More Decks by elmore
See All by elmore
OWASP JUICE SHOPで始める脆弱性(診断)/ Learn vulnerabilities at OWASP JUICE SHOP
elmore
1
1.8k
Featured
See All Featured
Faster Mobile Websites
deanohume
310
31k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
0
250
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
0
3.4k
Reality Check: Gamification 10 Years Later
codingconduct
0
2k
Being A Developer After 40
akosma
91
590k
Statistics for Hackers
jakevdp
799
230k
AI: The stuff that nobody shows you
jnunemaker
PRO
2
250
KATA
mclloyd
PRO
34
15k
Paper Plane
katiecoart
PRO
0
46k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
180
Transcript
Acunetix使ってみた 2018/6/18 えるもあ
Acunetixとは • Webの脆弱性スキャナー ◦ 基本的には自動で検査を行う ▪ これが売りっぽい ◦ FW/CMS/MW含め幅広い脆弱性を検査 してくれる
◦ 多分Pythonで動いてる ◦ 検知率向上の隠し味がある
どう使う? • 始点のURL入力して1クリックでOK ◦ VAddyに似ている感じ • Issue Tracker(GitHub, JIRA, TFS)と連携で
きたり • SAZや、HAR、Selenium Scriptなどからク ロールの設定ができる ◦ 自動クロールもある
None
ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??
None
None
ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??
XVWAをスキャンしてみた • 一番早い設定だと恐ろしい速さでリクエスト 投げてる ◦ コネクション数はちゃんと制限しているみ たい • シグネチャ多くね ◦
某国産よりはるかに多く感じる ▪ 見られないので比較はできないけど
結果は...
None
None
None
シグネチャは? • かんたんには見せてくれない ◦ 某国産はプレーンテキストで置いてある のにね ◦ DOM XSSのシグネチャっぽいのは暗号 化されてた
◦ シグネチャはどこに保存しているか探索 中
None
使える? • 使えるけど、ちょっと不安? ◦ SQLi見落としてる ▪ クロール設定がイケてないかも? ◦ 検査ログが見えない ▪
間にProxy挟めば解決? ◦ 開発者にとってはすごく使いやすいかも
某国産と比較して 後日掲載するかも。。。
elmore
deanohume
panda_program
reverentgeek
cassininazir
katarinadahlin
codingconduct
akosma
jakevdp
jnunemaker
mclloyd
katiecoart
tammyeverts
