Yabu.log

ITなどの雑記

脆弱性の検証ツール

ゆるいハッキング大会(34回)にて、色々教えてもらいました。

一般的に脆弱性診断は自分の管理している環境(オンプレ)以外に行う場合は 管理者に許可が必要らしい。(例えば勝手にAWSのサーバーに対して行なってはいけない)

nessusとopenvasのデモがあった。 それ以外は帰宅後個人で調べた情報を載せた。

調べる限り、多くのものが、

  • 1.CVEやJVN、ベンダが後悔している脆弱性の公開情報を自動取得
  • 2.検証*1
  • 3.レポート

と言う流れになっている。

OpenSCAP

Vuls

(バルス!!!って読むのかな?) メインの開発者が日本人らしい

https://qiita.com/sadayuki-matsuno/items/0bb8bb1689425bb9a21c

  • OS,ミドルウェアの検証可能
  • 今風らしい
  • slack,メールに通知可能?(もしかしてスケジュールとかで定期的に動かすのか?)

OWASP Zap

OWASP Zed Attack Proxy Project - OWASP

webアプリの脆弱性診断ツール(アプリに特化) SQLインジェクションなどの脆弱性がないかを検証できる https://qiita.com/tamura__246/items/9c70ddc1c03cf623cf8d

商用・個人利用が無料

Burp Suite

HTTPの通信が検証できる? https://qiita.com/tk_daze/items/d92bc6af0c2e0915dbb1

ローカルプロキシツールとあるけど、経路で通信が改竄できるのか? 通信内容が確認できるだけだと、wiresharkと何が違うのかよくわからない。

Nikto

セキリティホール検証ツール https://github.com/sullo/nikto 現在もメンテされている。

Nessus

win/mac/linux対応。

サーバーの設定ミスやパッチの当て忘れなどを検出可能 こちらは勉強会でデモがあった。 脆弱性を発見するだけでなく、 見つかったCVE等をまとめる強力なレポート機能が付いている 商用は有料。個人向けはタダ(ただし制限あり)

中華系のフリーソフトミドルウェアと衝突を起こしたり、 セキュリティソフトが警告を出したりなどでインストールが結構面倒。

OpenVAS

nessusの派生ソフト。フリー版。 多分MATLABに置けるOctaveのような位置付け。 nessusとの機能面での違いはいまいちわからなかった。

感想

  • OWASP以外は全て初耳でした。
  • どれもかなり機能はリッチだけど、ローカルにDBが必要だったり、ポートの設定をしたりで導入は結構面倒
  • 恥ずかしながら脆弱性のチェックはやったことはない。
    • 開発時点で、非機能要件まで責任を持つようなレベルのチームで仕事をしたことがないからかもしれない。
    • もしくは今までセキュリティに責任を持って納品するような案件に関わってこなかったから。(完全に閉じた社内システム等)
      • 多分納品先がチェック&問題があれば修正などをやっているのかと。。。
    • SESだからこんな感じなのかな。受託でやったらセキュリティまで細かく検証しないと行けないんだろうな。
  • 他の参加者の方の話を聞く限り、脆弱性などは手作業で検証&エクセルで管理のようなことをしているらしい。
    • そう言う人たちからすると、こう言う自動で検証するツールは相当インパクトがあるらしい
  • 私はインフラ屋じゃなくてPGだから、OWASPとか使えるといいんだろうな、と思いました。

*1:検証のところはどうやっているのかよくわからない。PoCが通るか試すのか?バージョンから対応・非対応を見るだけ?