まったり技術ブログ

Webエンジニアのセキュリティブログ

【随時更新】Webセキュリティ診断ツールのまとめ

セキュリティ

GUIアプリケーション型

 玄人向けのアプリケーションが多い印象です。

Burp Suite
公式 Burp Suite Scanner | PortSwigger
https://portswigger.net/burp

  • 診断を実施する上で便利な拡張プラグインが公開されている。独自に作成・公開することも可能です。 PortSwigger · GitHub

  • GUIアプリケーション

  • シナリオ型の設定可能

ZAP
公式 ZAP
https://www.zaproxy.org/
GitHub https://github.com/zaproxy/zaproxy
  • GUIアプリケーション
  • スパイダー型(簡易スキャン)
  • 2023年8月にOWASPから離れた。そのため「OWASP ZAP」ではなくなった。

zap-cli

  • Cookieの設定はコンテキストを読み込ませる必要があり難しそう

Dockerfile-zap-cli https://gist.github.com/Grunny/6ea8d48d711c6ad28064

Fiddler

 Windows上のデバッグでよく用いられるプロキシ。 今はMac OS向けもあります。

 アドオン(Watcher、X5S)を追加することによって診断を行うことが可能になります。

OWASP Fiddler Addons for Security Testing Project - OWASP

Vex

日本の会社が開発しているツールです。
公式 https://www.ubsecure.jp/vex

Watcher
公式 Watcher: Web security testing tool and passive vulnerability scanner - CodePlex Archive
https://archive.codeplex.com/?p=websecuritytool
  • パッシブスキャン

X5S
公式 x5s - test encodings and character transformations to find XSS hotspots - CodePlex Archive
https://archive.codeplex.com/?p=xss
  • アクティブスキャン

コンソールアプリケーション型(CUI型)

 コマンド1つで実行できるなど、簡単に利用できる印象です。

SQLMap
公式 sqlmap: automatic SQL injection and database takeover tool
http://sqlmap.org/
GitHub https://github.com/sqlmapproject/sqlmap

 GitHubスター数 15,000 を超える言わずと知れたツール。SQLインジェクション専用。

NoSQLMap
GitHub https://github.com/codingo/NoSQLMap

 SQLMap の NoSQL版

w3af
公式 w3af - Open Source Web Application Security Scanner
http://w3af.org/
GitHub https://github.com/andresriancho/w3af

w3afでWeb脆弱性スキャンをやってみる - ももいろテクノロジー w3afでアプリケーション脆弱性診断してみる - seezoo-cms開発日誌

Arachni (終了)
公式 Home - Arachni - Web Application Security Scanner Framework
http://www.arachni-scanner.com/
Github https://github.com/Arachni/arachni
Dockerイメージ https://hub.docker.com/r/arachni/arachni/

 2020年1月28日をもってメンテナンスは終了されました。
Arachni - Web Application Security Scanner Framework – Ecsypno

  • スパイダー式

ArachniでWeb脆弱性スキャンをやってみる - ももいろテクノロジー

SCNR

Arachni の後継プロダクトです。

Arachni の開発で培った10年以上の経験が生かされており、最終的には自然な陳腐化によって Arachni に取って代わられることになるのです。
公式 SCNR
https://ecsypno.com/scnr-documentation/

Scan My Server (※提供終了)
公式 ScanMyServer
https://scanmyserver.com/my_account/

WhatWeb
公式 https://www.morningstarsecurity.com/research/whatweb
GitHub https://github.com/urbanadventurer/WhatWeb
Dockerコンテナ https://hub.docker.com/r/guidelacour/whatweb/
  • フィンガープリントの取得

Skipfish
公式 Google Code Archive - Long-term storage for Google Code Project Hosting.
https://code.google.com/archive/p/skipfish/
Dockerイメージ https://hub.docker.com/r/k0st/alpine-skipfish/
  • DVWSをスキャンして「3時間7分」掛かった

「skipfish」でWebアプリの脆弱性をチェックする | さくらのナレッジ

Nikto
公式 Nikto2 | CIRT.net
https://cirt.net/Nikto2
GitHub https://github.com/sullo/nikto

Vega
公式 Vega Vulnerability Scanner
https://subgraph.com/vega/
GitHub https://github.com/subgraph/Vega

Grabber
公式 http://rgaucher.info/beta/grabber/

Wapiti
公式 Wapiti : a Free and Open-Source web-application vulnerability scanner in Python for Windows, Linux, BSD, OSX
http://wapiti.sourceforge.net/

WebScarab
公式 Category:OWASP WebScarab Project - OWASP
https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
GitHub https://github.com/OWASP/OWASP-WebScarab

Ratproxy
公式 https://code.google.com/archive/p/ratproxy/
  • Google製
  • 2009/05/14から更新が行われていない

Wfuzz
公式 Wfuzz: The Web fuzzer — Wfuzz 2.1.4 documentation
https://wfuzz.readthedocs.io/en/latest/
Github https://github.com/xmendez/wfuzz

Grendel-Scan
公式 https://sourceforge.net/projects/grendel/
Source https://sourceforge.net/p/grendel/code/ci/master/tree/

WAScan
公式 -
GitHub https://github.com/m4ll0k/WAScan

 2018月7月20日に公開され、比較的新しいツールではあるが、既にGitHubで1,000スターを取得している診断ツール。

Paros
Wiki https://github.com/zaproxy/zap-core-help/wiki/HelpParos
  • OWASP ZAPの元となった診断ツール
  • 2006/08/08から更新が行われない

SaaS型

 ブラウザさえあれば実施することが可能。 (多いため日本で提供されているものを優先的に調査・記載しています。)

VAddy(バディ)
公式 VAddy - 株式会社ビットフォレスト
https://vaddy.net/ja/
  • 【2015.09.07】継続的Webセキュリティテストサービス「VAddy(バディ)」、製品版/有料プランの提供を開始しました | VAddy クラウド型Web脆弱性診断ツール
    https://vaddy.net/ja/release/20150907.html

AeyeScan(エーアイスキャン)
公式 AeyeScan- 株式会社エーアイセキュリティラボ
https://www.aeyescan.jp/

komabato(コマバト)
公式 komabato - 株式会社ユービーセキュア
https://www.ubsecure.jp/komabato

Securify(セキュリファイ)
公式 Securify - 株式会社スリーシェイク | Securify
https://www.securify.jp/securify-scan

secuas(セキュアズ)
公式 secuas - 有限会社アズリアル
https://secuas-cloud.com/

Walti (※提供終了)

※ 2021年7月20日 サービス終了
公式 サーバーサイドのセキュリティスキャンをもっと身近に - 株式会社ウォルティ。
https://walti[.]io/

 診断対象サイトのURLを指定するだけで、診断を実施することが可能。

特徴

 サービストップページに「スキャン1回5円〜」と記載があるだけあり、他のSasS型の診断ツールと比べて価格が安い。

診断種別


 ターゲット(ドメイン)毎に初回スキャンは無料となっておりましたので、スキャンを試してみました。

スキャン対象 利用ソフト 診断種別
Firewall nmap ネットワーク診断
Web Server nikto プラットフォーム診断
Web App skipfish Webアプリケーション診断

「Web Server」のスキャン結果

Acunetix WVS
公式 Acunetix Vulnerability Scanner: Web Application Security
https://www.acunetix.com/vulnerability-scanner/
  • 質は良さそうだが、お値段がそこそこ(20ターゲット以下60万円)

Qualys - Web Application Scanning
公式 Web Application Scanning | Qualys, Inc.
https://www.qualys.com/apps/web-app-scanning/

https://www.qualys.com/docs/qualys-was-getting-started-guide.pdf

UpGuard - Cloud Scanner
公式 UpGuard - Cloud Scanner
https://webscan.upguard.com/
  • 登録不要
  • サイトURLを入力するだけで診断が可能

診断結果

Tinfoil Security
公式 Website Security | Recurring, Affordable, and Usable
https://www.tinfoilsecurity.com/
  • 診断の起点となるサイトのURL1つ設定して、そこからスパイダー式で診断が行われる
  • 30日間のトライアル版あり(2018/10/23現在)
  • PDF形式で診断レポートの出力可能

診断結果

診断結果トップ

脆弱性一覧

脆弱性詳細
  • 「Rescan」ボタンがあり、対象の脆弱性のみを診断も可能?(未検証)

Sucuri - Free Website Malware Scanner
公式 Sucuri SiteCheck
https://sitecheck.sucuri.net/

 無料のマルウェアスキャンサービス。
URLで指定したサイトがマルウェアに感染していないか、ブラックリストに登録されていないかを確認することができる。

診断結果

Web Inspector - Free Website Malware Scanner
公式 Website Malware Scanner | Free Online Web Scan for Malware Infections
https://app.webinspector.com/

 無料のマルウェアスキャンサービス。
診断対象がマルウェア感染・バックドア設置がされていないかを確認することができる。

診断結果

参考