Acunetix使ってみた/Try_used_Acunetix

Transcript

1. Acunetix使ってみた 2018/6/18 えるもあ

2. Acunetixとは • Webの脆弱性スキャナー ◦ 基本的には自動で検査を行う ▪ これが売りっぽい ◦ FW/CMS/MW含め幅広い脆弱性を検査 してくれる

   ◦ 多分Pythonで動いてる ◦ 検知率向上の隠し味がある

3. どう使う？ • 始点のURL入力して1クリックでOK ◦ VAddyに似ている感じ • Issue Tracker(GitHub, JIRA, TFS)と連携で

   きたり • SAZや、HAR、Selenium Scriptなどからク ロールの設定ができる ◦ 自動クロールもある
4. None

5. ログインとかは？ • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい？？

6. None
7. None

8. ログインとかは？ • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい？？

9. XVWAをスキャンしてみた • 一番早い設定だと恐ろしい速さでリクエスト 投げてる ◦ コネクション数はちゃんと制限しているみ たい • シグネチャ多くね ◦

   某国産よりはるかに多く感じる ▪ 見られないので比較はできないけど

10. 結果は...

11. None
12. None
13. None

14. シグネチャは？ • かんたんには見せてくれない ◦ 某国産はプレーンテキストで置いてある のにね ◦ DOM XSSのシグネチャっぽいのは暗号 化されてた

    ◦ シグネチャはどこに保存しているか探索 中
15. None

16. 使える？ • 使えるけど、ちょっと不安？ ◦ SQLi見落としてる ▪ クロール設定がイケてないかも？ ◦ 検査ログが見えない ▪

    間にProxy挟めば解決？ ◦ 開発者にとってはすごく使いやすいかも

17. 某国産と比較して 後日掲載するかも。。。