まったり技術ブログ

主にWebエンジニア向けのセキュリティ情報

【随時更新】Webセキュリティ診断ツールのまとめ

f:id:motikan2010:20181020180235j:plain

Webセキュリティ診断ツール比較サイト

sectoolmarket.com

目次

GUIアプリケーション型

 玄人向けのアプリケーションが多い印象。

Burp Suite

公式 Burp Suite Scanner | PortSwigger
https://portswigger.net/burp
  • 診断を実施する上で便利な拡張プラグインが公開されている。独自に作成・公開することも可能です。 PortSwigger Web Security · GitHub

  • GUIアプリケーション

  • シナリオ型の設定可能

OWASP ZAP

公式 OWASP Zed Attack Proxy Project - OWASP
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
GitHub https://github.com/zaproxy/zaproxy
  • GUIアプリケーション
  • スパイダー型(簡易スキャン)

    zap-cli

  • Cookieの設定はコンテキストを読み込ませる必要があり難しそう

Dockerfile-zap-cli https://gist.github.com/Grunny/6ea8d48d711c6ad28064

Fiddler

 Windows上のデバッグでよく用いられるプロキシ。 今はMac OS向けもあります。
アドオン(Watcher、X5S)を追加することによって診断を行うことが可能になります。

OWASP Fiddler Addons for Security Testing Project - OWASP

Watcher

公式 Watcher: Web security testing tool and passive vulnerability scanner - CodePlex Archive
https://archive.codeplex.com/?p=websecuritytool
  • パッシブスキャン

X5S

公式 x5s - test encodings and character transformations to find XSS hotspots - CodePlex Archive
https://archive.codeplex.com/?p=xss
  • アクティブスキャン

コンソールアプリケーション型

 コマンド1つで実行できるなど、簡単に利用できる印象。

SQLMap

公式 sqlmap: automatic SQL injection and database takeover tool
http://sqlmap.org/
GitHub https://github.com/sqlmapproject/sqlmap

 GitHubスター数15,000を超える言わずと知れたツール。SQLインジェクション専用。

NoSQLMap

GitHub https://github.com/codingo/NoSQLMap

w3af

公式 w3af - Open Source Web Application Security Scanner
http://w3af.org/
GitHub https://github.com/andresriancho/w3af

w3afでWeb脆弱性スキャンをやってみる - ももいろテクノロジー w3afでアプリケーション脆弱性診断してみる - seezoo-cms開発日誌

Arachni

公式 Home - Arachni - Web Application Security Scanner Framework
http://www.arachni-scanner.com/
Github https://github.com/Arachni/arachni
Dockerイメージ https://hub.docker.com/r/arachni/arachni/
  • スパイダー式

ArachniでWeb脆弱性スキャンをやってみる - ももいろテクノロジー

Scan My Server

公式 ScanMyServer
https://scanmyserver.com/my_account/

WhatWeb

公式 https://www.morningstarsecurity.com/research/whatweb
GitHub https://github.com/urbanadventurer/WhatWeb
Dockerコンテナ https://hub.docker.com/r/guidelacour/whatweb/
  • フィンガープリントの取得

Skipfish

公式 Google Code Archive - Long-term storage for Google Code Project Hosting.
https://code.google.com/archive/p/skipfish/
Dockerイメージ https://hub.docker.com/r/k0st/alpine-skipfish/
  • DVWSをスキャンして「3時間7分」掛かった

「skipfish」でWebアプリの脆弱性をチェックする | さくらのナレッジ

Nikto

公式 Nikto2 | CIRT.net
https://cirt.net/Nikto2
GitHub https://github.com/sullo/nikto

Vega

公式 Vega Vulnerability Scanner
https://subgraph.com/vega/
GitHub https://github.com/subgraph/Vega

Grabber

公式 http://rgaucher.info/beta/grabber/

Wapiti

公式 Wapiti : a Free and Open-Source web-application vulnerability scanner in Python for Windows, Linux, BSD, OSX
http://wapiti.sourceforge.net/

WebScarab

公式 Category:OWASP WebScarab Project - OWASP
https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
GitHub https://github.com/OWASP/OWASP-WebScarab

Ratproxy

公式 https://code.google.com/archive/p/ratproxy/
  • Google製
  • 2009/05/14から更新が行われていない

Wfuzz

公式 Wfuzz: The Web fuzzer — Wfuzz 2.1.4 documentation
https://wfuzz.readthedocs.io/en/latest/
Github https://github.com/xmendez/wfuzz

Grendel-Scan

公式 https://sourceforge.net/projects/grendel/
Source https://sourceforge.net/p/grendel/code/ci/master/tree/

WAScan

公式 -
GitHub https://github.com/m4ll0k/WAScan

 2018月7月20日に公開され、比較的新しいツールではあるが、既にGitHubで1,000スターを取得している診断ツール。

Paros

Wiki https://github.com/zaproxy/zap-core-help/wiki/HelpParos
  • OWASP ZAPの元となった診断ツール
  • 2006/08/08から更新が行われない

SaaS型

 ブラウザさえあれば実施することが可能。

VAddy

公式 VAddy クラウド型Web脆弱性検査ツール - 株式会社ビットフォレスト
https://vaddy.net/ja/

Walti

公式 サーバーサイドのセキュリティスキャンをもっと身近に。
https://walti.io/

 診断対象サイトのURLを指定するだけで、診断を実施することが可能。

特徴

サービストップページに「スキャン1回5円〜」と記載があるだけあり、他のSasS型の診断ツールと比べて価格が安い。

診断種別

f:id:motikan2010:20190920222845p:plain:w400
 ターゲット(ドメイン)毎に初回スキャンは無料となっておりましたので、スキャンを試してみました。

スキャン対象 利用ソフト 診断種別
Firewall nmap ネットワーク診断
Web Server nikto プラットフォーム診断
Web App skipfish Webアプリケーション診断

「Web Server」のスキャン結果

f:id:motikan2010:20190920223047p:plain:w400

料金

https://walti.io/#price

Acunetix WVS

公式 Acunetix Vulnerability Scanner: Web Application Security
https://www.acunetix.com/vulnerability-scanner/
  • 質は良さそうだが、お値段がそこそこ(20ターゲット以下60万円)

Qualys - Web Application Scanning

公式 Web Application Scanning | Qualys, Inc.
https://www.qualys.com/apps/web-app-scanning/

https://www.qualys.com/docs/qualys-was-getting-started-guide.pdf

UpGuard - Cloud Scanner

公式 UpGuard - Cloud Scanner
https://webscan.upguard.com/
  • 登録不要
  • サイトURLを入力するだけで診断が可能

診断結果

f:id:motikan2010:20190920223220p:plain:w400

Tinfoil Security

公式 Website Security | Recurring, Affordable, and Usable
https://www.tinfoilsecurity.com/
  • 診断の起点となるサイトのURL1つ設定して、そこからスパイダー式で診断が行われる
  • 30日間のトライアル版あり(2018/10/23現在)
  • PDF形式で診断レポートの出力可能

診断結果

診断結果トップ

f:id:motikan2010:20190920223331p:plain:w400

脆弱性一覧

f:id:motikan2010:20190920223405p:plain:w400

脆弱性詳細
  • 「Rescan」ボタンがあり、対象の脆弱性のみを診断も可能?(未検証)
    f:id:motikan2010:20190920223443p:plain:w400

Sucuri

公式 Sucuri SiteCheck - Free Website Malware Scanner
https://sitecheck.sucuri.net/

 無料のマルウェアスキャンサービス。
URLで指定したサイトがマルウェアに感染していないか、ブラックリストに登録されていないかを確認することができる。

診断結果

f:id:motikan2010:20190920223518p:plain:w400

Web Inspector - Free Website Malware Scanner

公式 Website Malware Scanner | Free Online Web Scan for Malware Infections
https://app.webinspector.com/

 無料のマルウェアスキャンサービス。
診断対象がマルウェア感染・バックドア設置がされていないかを確認することができる。

診断結果

f:id:motikan2010:20190920223552p:plain:w400

参考

Category:Vulnerability Scanning Tools - OWASP

Best Vulnerability Scanners | Techworld

14 Best Open Source Web Application Vulnerability Scanners [Updated for 2019]

更新履歴

日付
2019/9/20 NoSQLMap 追加