Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Acunetix使ってみた/Try_used_Acunetix

Avatar for elmore elmore
June 18, 2018
0
71

 Acunetix使ってみた/Try_used_Acunetix

Avatar for elmore

elmore

June 18, 2018
Tweet

More Decks by elmore

See All by elmore
OWASP JUICE SHOPで始める脆弱性(診断)/ Learn vulnerabilities at OWASP JUICE SHOP
Avatar for elmore elmore
1
1.8k

Featured

See All Featured
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
170
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.3k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
60
42k
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
0
200
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
359
30k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
47
7.9k
Designing for Timeless Needs
Avatar for Cassini Nazir cassininazir
0
130
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.5k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
Avatar for UX Y'all uxyall
0
340
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
190
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
191
11k

Transcript

  1. Acunetix使ってみた 2018/6/18 えるもあ

  2. Acunetixとは • Webの脆弱性スキャナー ◦ 基本的には自動で検査を行う ▪ これが売りっぽい ◦ FW/CMS/MW含め幅広い脆弱性を検査 してくれる

    ◦ 多分Pythonで動いてる ◦ 検知率向上の隠し味がある

  3. どう使う? • 始点のURL入力して1クリックでOK ◦ VAddyに似ている感じ • Issue Tracker(GitHub, JIRA, TFS)と連携で

    きたり • SAZや、HAR、Selenium Scriptなどからク ロールの設定ができる ◦ 自動クロールもある
  4. None

  5. ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??

  6. None
  7. None

  8. ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??

  9. XVWAをスキャンしてみた • 一番早い設定だと恐ろしい速さでリクエスト 投げてる ◦ コネクション数はちゃんと制限しているみ たい • シグネチャ多くね ◦

    某国産よりはるかに多く感じる ▪ 見られないので比較はできないけど

  10. 結果は...

  11. None
  12. None
  13. None

  14. シグネチャは? • かんたんには見せてくれない ◦ 某国産はプレーンテキストで置いてある のにね ◦ DOM XSSのシグネチャっぽいのは暗号 化されてた

    ◦ シグネチャはどこに保存しているか探索 中
  15. None

  16. 使える? • 使えるけど、ちょっと不安? ◦ SQLi見落としてる ▪ クロール設定がイケてないかも? ◦ 検査ログが見えない ▪

    間にProxy挟めば解決? ◦ 開発者にとってはすごく使いやすいかも

  17. 某国産と比較して 後日掲載するかも。。。