$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Acunetix使ってみた/Try_used_Acunetix
Search
elmore
June 18, 2018
0
65
Acunetix使ってみた/Try_used_Acunetix
elmore
June 18, 2018
Tweet
Share
More Decks by elmore
See All by elmore
OWASP JUICE SHOPで始める脆弱性(診断)/ Learn vulnerabilities at OWASP JUICE SHOP
elmore
1
1.7k
Featured
See All Featured
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Music & Morning Musume
bryan
46
6.2k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Facilitating Awesome Meetings
lara
50
6.1k
Imperfection Machines: The Place of Print at Facebook
scottboms
266
13k
Six Lessons from altMBA
skipperchong
27
3.5k
Bash Introduction
62gerente
608
210k
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
Transcript
Acunetix使ってみた 2018/6/18 えるもあ
Acunetixとは • Webの脆弱性スキャナー ◦ 基本的には自動で検査を行う ▪ これが売りっぽい ◦ FW/CMS/MW含め幅広い脆弱性を検査 してくれる
◦ 多分Pythonで動いてる ◦ 検知率向上の隠し味がある
どう使う? • 始点のURL入力して1クリックでOK ◦ VAddyに似ている感じ • Issue Tracker(GitHub, JIRA, TFS)と連携で
きたり • SAZや、HAR、Selenium Scriptなどからク ロールの設定ができる ◦ 自動クロールもある
None
ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??
None
None
ログインとかは? • スキャン前にあらかじめ設定しておく ◦ 某国産スキャナーみたいなやつ • 独自ツールで再現させる ◦ Selenium使ってるっぽい??
XVWAをスキャンしてみた • 一番早い設定だと恐ろしい速さでリクエスト 投げてる ◦ コネクション数はちゃんと制限しているみ たい • シグネチャ多くね ◦
某国産よりはるかに多く感じる ▪ 見られないので比較はできないけど
結果は...
None
None
None
シグネチャは? • かんたんには見せてくれない ◦ 某国産はプレーンテキストで置いてある のにね ◦ DOM XSSのシグネチャっぽいのは暗号 化されてた
◦ シグネチャはどこに保存しているか探索 中
None
使える? • 使えるけど、ちょっと不安? ◦ SQLi見落としてる ▪ クロール設定がイケてないかも? ◦ 検査ログが見えない ▪
間にProxy挟めば解決? ◦ 開発者にとってはすごく使いやすいかも
某国産と比較して 後日掲載するかも。。。