まったり技術ブログ

Technology is power.

【随時更新】Webセキュリティ診断ツールのまとめ

f:id:motikan2010:20181020180235j:plain

GUIアプリケーション型

Burp Suite

公式 Burp Suite Scanner | PortSwigger
https://portswigger.net/burp
  • 診断を実施する上で便利な拡張プラグインが公開されている。独自に作成・公開することも可能です。 PortSwigger Web Security · GitHub

  • GUIアプリケーション

  • シナリオ型の設定可能

OWASP ZAP

公式 OWASP Zed Attack Proxy Project - OWASP
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
GitHub https://github.com/zaproxy/zaproxy
  • GUIアプリケーション
  • スパイダー型(簡易スキャン)

    zap-cli

  • Cookieの設定はコンテキストを読み込ませる必要があり難しそう

Dockerfile-zap-cli https://gist.github.com/Grunny/6ea8d48d711c6ad28064

Fiddler

Windows上のデバッグでよく用いられるプロキシ。 今はMac OS向けもあります。
アドオン(Watcher、X5S)を追加することによって診断を行うことが可能になります。

OWASP Fiddler Addons for Security Testing Project - OWASP

Watcher

公式 Watcher: Web security testing tool and passive vulnerability scanner - CodePlex Archive
https://archive.codeplex.com/?p=websecuritytool
  • パッシブスキャン

X5S

公式 x5s - test encodings and character transformations to find XSS hotspots - CodePlex Archive
https://archive.codeplex.com/?p=xss
  • アクティブスキャン

コンソールアプリケーション型

w3af

公式 w3af - Open Source Web Application Security Scanner
http://w3af.org/
GitHub https://github.com/andresriancho/w3af

w3afでWeb脆弱性スキャンをやってみる - ももいろテクノロジー w3afでアプリケーション脆弱性診断してみる - seezoo-cms開発日誌

Arachni

公式 Home - Arachni - Web Application Security Scanner Framework
http://www.arachni-scanner.com/
Github https://github.com/Arachni/arachni
Dockerイメージ https://hub.docker.com/r/arachni/arachni/
  • スパイダー式

ArachniでWeb脆弱性スキャンをやってみる - ももいろテクノロジー

Scan My Server

公式 ScanMyServer
https://scanmyserver.com/my_account/

Sucuri

無料のSaaS型マルウェアスキャンサービス。サイトがマルウェアに感染していないか、ブラックリストに登録されていないかを確認することが可能。

公式 Sucuri SiteCheck - Free Website Malware Scanner
https://sitecheck.sucuri.net/

診断結果

Web Inspector - Free Website Malware Scanner

公式 Website Malware Scanner | Free Online Web Scan for Malware Infections
https://app.webinspector.com/

無料でスグに利用可能。 マルウェアスキャナであり、診断対象がマルウェア感染・バックドア設置がされていないかを確認している。

診断結果

WhatWeb

公式 https://www.morningstarsecurity.com/research/whatweb
GitHub https://github.com/urbanadventurer/WhatWeb
Dockerコンテナ https://hub.docker.com/r/guidelacour/whatweb/
  • フィンガープリントの取得

Skipfish

公式 Google Code Archive - Long-term storage for Google Code Project Hosting.
https://code.google.com/archive/p/skipfish/
Dockerイメージ https://hub.docker.com/r/k0st/alpine-skipfish/
  • DVWSをスキャンして「3時間7分」掛かった

「skipfish」でWebアプリの脆弱性をチェックする | さくらのナレッジ

Nikto

公式 Nikto2 | CIRT.net
https://cirt.net/Nikto2
GitHub https://github.com/sullo/nikto

Vega

公式 Vega Vulnerability Scanner
https://subgraph.com/vega/
GitHub https://github.com/subgraph/Vega

Grabber

公式 http://rgaucher.info/beta/grabber/

Wapiti

公式 Wapiti : a Free and Open-Source web-application vulnerability scanner in Python for Windows, Linux, BSD, OSX
http://wapiti.sourceforge.net/

WebScarab

公式 Category:OWASP WebScarab Project - OWASP
https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
GitHub https://github.com/OWASP/OWASP-WebScarab

Ratproxy

公式 https://code.google.com/archive/p/ratproxy/
  • Google製
  • 2009/05/14から更新が行われていない

SQLMap

公式 sqlmap: automatic SQL injection and database takeover tool
http://sqlmap.org/
GitHub https://github.com/sqlmapproject/sqlmap

Wfuzz

公式 Wfuzz: The Web fuzzer — Wfuzz 2.1.4 documentation
https://wfuzz.readthedocs.io/en/latest/
Github https://github.com/xmendez/wfuzz

Grendel-Scan

公式 https://sourceforge.net/projects/grendel/
Source https://sourceforge.net/p/grendel/code/ci/master/tree/

WAScan

2018月7月20日に公開され、比較的新しいツールではあるが、既にGitHubで1,000スターを取得している診断ツール。

公式 -
GitHub https://github.com/m4ll0k/WAScan

Paros

Wiki https://github.com/zaproxy/zap-core-help/wiki/HelpParos
  • OWASP ZAPの元となった診断ツール
  • 2006/08/08から更新が行われない

SaaS

VAddy

公式 VAddy クラウド型Web脆弱性検査ツール - 株式会社ビットフォレスト
https://vaddy.net/ja/

Walti

 SaaS型の診断サービス。診断対象サイトのURLを指定するだけで、診断を実施することが可能。

公式 サーバーサイドのセキュリティスキャンをもっと身近に。
https://walti.io/

特徴

サービストップページに「スキャン1回5円〜」と記載があるだけあり、他のSasS型の診断ツールと比べて価格が安い。

診断種別

 ターゲット(ドメイン)毎に初回スキャンは無料となっておりましたので、スキャンを試してみました。

スキャン対象 利用ソフト 診断種別
Firewall nmap ネットワーク診断
Web Server nikto プラットフォーム診断
Web App skipfish Webアプリケーション診断

「Web Server」のスキャン結果

料金

https://walti.io/#price

Acunetix WVS

公式 Acunetix Vulnerability Scanner: Web Application Security
https://www.acunetix.com/vulnerability-scanner/
  • 質は良さそうだが、お値段がそこそこ(20ターゲット以下60万円)

Qualys - Web Application Scanning

公式 Web Application Scanning | Qualys, Inc.
https://www.qualys.com/apps/web-app-scanning/

https://www.qualys.com/docs/qualys-was-getting-started-guide.pdf

UpGuard - Cloud Scanner

公式 UpGuard - Cloud Scanner
https://webscan.upguard.com/
  • 登録不要
  • サイトURLを入力するだけで診断が可能

診断結果

Tinfoil Security

公式 Website Security | Recurring, Affordable, and Usable
https://www.tinfoilsecurity.com/
  • 診断の起点となるサイトのURL1つ設定して、そこからスパイダー式で診断が行われる
  • 30日間のトライアル版あり(2018/10/23現在)
  • PDF形式で診断レポートの出力可能

診断結果

診断結果トップ

脆弱性一覧

脆弱性詳細
  • 「Rescan」ボタンがあり、対象の脆弱性のみを診断も可能?(未検証)

参考

Category:Vulnerability Scanning Tools - OWASP

Best vulnerability scanners 2018 | Techworld

14 Best Open Source Web Application Vulnerability Scanners [Updated for 2018]