$30 off During Our Annual Pro Sale. View Details »

Acunetix使ってみた/Try_used_Acunetix

Avatar for elmore elmore
June 18, 2018
0
70

 Acunetix使ってみた/Try_used_Acunetix

Avatar for elmore

elmore

June 18, 2018
Tweet

More Decks by elmore

See All by elmore
OWASP JUICE SHOPで始める脆弱性(診断)/ Learn vulnerabilities at OWASP JUICE SHOP
Avatar for elmore elmore
1
1.8k

Featured

See All Featured
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
231
22k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
24
3.8k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
62k
Fireside Chat
Avatar for paigeccino paigeccino
41
3.7k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
500
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k

Transcript

  1. Acunetix使ってみた 2018/6/18 えるもあ

  2. Acunetixとは • Webの脆弱性スキャナー ◦ 基本的には自動で検査を行う ▪ これが売りっぽい ◦ FW/CMS/MW含め幅広い脆弱性を検査 してくれる

    ◦ 多分Pythonで動いてる ◦ 検知率向上の隠し味がある

  3. どう使う? • 始点のURL入力して1クリックでOK ◦ VAddyに似ている感じ • Issue Tracker(GitHub, JIRA, TFS)と連携で

    きたり • SAZや、HAR、Selenium Scriptなどからク ロールの設定ができる ◦ 自動クロールもある
  4. None

  5. ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??

  6. None
  7. None

  8. ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??

  9. XVWAをスキャンしてみた • 一番早い設定だと恐ろしい速さでリクエスト 投げてる ◦ コネクション数はちゃんと制限しているみ たい • シグネチャ多くね ◦

    某国産よりはるかに多く感じる ▪ 見られないので比較はできないけど

  10. 結果は...

  11. None
  12. None
  13. None

  14. シグネチャは? • かんたんには見せてくれない ◦ 某国産はプレーンテキストで置いてある のにね ◦ DOM XSSのシグネチャっぽいのは暗号 化されてた

    ◦ シグネチャはどこに保存しているか探索 中
  15. None

  16. 使える? • 使えるけど、ちょっと不安? ◦ SQLi見落としてる ▪ クロール設定がイケてないかも? ◦ 検査ログが見えない ▪

    間にProxy挟めば解決? ◦ 開発者にとってはすごく使いやすいかも

  17. 某国産と比較して 後日掲載するかも。。。