アシアル株式会社
アシアルTechブログ
メニュー
closeMenu1
closeMenu2
アシアル株式会社
アシアルTechブログ
メニュー
closeMenu1
closeMenu2
その他
2010年4月8日

Webアプリケーション向けの自動セキュリティスキャナ「Skipfish」を試してみました

asial
Share
このエントリーをはてなブックマークに追加

こんにちは、中川です。

先日、GoogleからWebアプリケーション向けの自動セキュリティスキャナ「Skipfish」が公開されたので、社内で利用しているCakePHPのアプリで試してみました。

Skipfish( http://code.google.com/p/skipfish/ )は、Webアプリケーションの脆弱性、SQLインジェクションやクロスサイトスクリプティング等を自動的に検出してくれるApache License 2.0のライセンスで公開されているオープンソースのツールです。

必要なライブラリは以下とのこと。


    * GNU C Compiler
    * GNU Make
    * GNU C Library (including development headers)
    * zlib (including development headers)
    * OpenSSL (including development headers)
    * libidn (including development headers) 

KnownIssues - skipfish -参照。

私の環境では、libidnがなかったので、yumで入れました。

さて、skipffish本体のインストールを行いましょう。

※最新のダウンロードはこちらのページを参照ください。
http://code.google.com/p/skipfish/


# wget http://skipfish.googlecode.com/files/skipfish-1.29b.tgz
# tar xvzf skipfish-1.18b.tgz
# cd skipfish
# make

インストールが完了したら、実際に動かしてみましょう。
いろいろとオプションがありますので、


./skipfish --help

で確認できます。

今回は、以下のオプションを追加した条件で実行しています。


-W dictionaries/minimal.wl
・・辞書ファイルは用意されている、dictionaries/minimal.wl を利用。
-C MYSESSIONNAME=e3mvctp2b46u312b5a5b9krop5
・・ログインが必須のアプリをテストしたため、クッキーの値をセット。
・・値は適当なブラウザでログインしてクッキーの情報をコピペ。
-X logout,login
・・logout / login を含むURLはセッションが切れてしまうのでまずは除外する。
-1
・・開発サーバのスペックが低いため同時接続は1で。
-o log/
・・結果の出力先を、log/ と指定
・http://192.168.1.236:8080/
・・検査URL

そして、実行!


./skipfish -W dictionaries/minimal.wl -C MYSESSIONNAME=e3mvctp2b46u312b5a5b9krop5 -X logout,login -1 -o log/ http://192.168.1.236:8080/

が、終わらない、、、30分経っても、がんがん実行中で終わらない。。。
サーバの負荷も高い高い。。これは外部に対しては絶対に行わないようにしましょう!

あきらめてCtl+Cで終了しました。。
途中で止めても結果ファイル自体は出力してくれるようです。

log/ ディレクトリ以下のindex.htmlファイルを適当なブラウザで開けば結果を確認できます。

こんな感じです。
※細かい結果の部分は今回はお見せしないようにしますが、各項目をクリックで詳細の確認ができます。

途中で止めたせいもあるのか(それでも30分くらいは動かしていた、、、)、今回は特に大きな問題などは見つからなかったようです。
(XSRFと表示されていますが、GETでアクセスする表示だけのページでこのアプリでは問題ないです。)
が、アプリケーションの想定外の動作を発見できたりしました。。

余談ですが、今回はCakePHPのアプリで試したのですが、
CakePHPのセッションのチェックには、UserAgentのチェックもされているようで、
core.phpの以下の設定を変更する必要がありました。
なぜセッション指定してもログアウトするのか結構悩みました。。。


Configure::write('Session.checkAgent', false);

検査には時間がかかるようですが、簡単に試すことができますので、脆弱性チェックの一つとして利用してみてはいかがでしょう。

■参考にさせていただいたサイト
・Skipfishで定義されている Webアプリに対するテスト一覧
http://www.yokada.net/blog/1456
・使ってみました。 - はじめに。
http://d.hatena.ne.jp/hajimeni/20100324/1269394599

author img for asial
asial

記事一覧

独自/ミラー yum リポジトリを作ろう

前の記事へ

bit演算の考え方を応用して大量のチェックボックスを管理する

次の記事へ

一覧へ戻る

関連する記事

オメデタです

記事へ

オメデタです

記事へ

Geocoder.jaをハックしてみた

記事へ

Geocoder.jaをハックしてみた

記事へ

会社のビジョン

記事へ

会社のビジョン

記事へ

「その他」カテゴリの最新記事

Tech勉強会レポート – RemixとWakuの紹介/技術選定について

記事へ

Tech勉強会レポート – RemixとWakuの紹介/技術選定について

記事へ

アシアルのオンボーディング・OJT体験記 〜入社から実務までの流れ〜

記事へ

アシアルのオンボーディング・OJT体験記 〜入社から実務までの流れ〜

記事へ

2024/10月社内Tech勉強会レポート – AWSを使ったイベント駆動サイトを開発した時の話 & Miroでブレストワークショップ –

記事へ

2024/10月社内Tech勉強会レポート – AWSを使ったイベント駆動サイトを開発した時の話 & Miroでブレストワークショップ –

記事へ

生成AIを業務で活用できたケースの紹介/アウトプット推進チームからの活動報告

記事へ

生成AIを業務で活用できたケースの紹介/アウトプット推進チームからの活動報告

記事へ

PAGE TOP
Asialの発信や
ニュースをチェック
アシアルTechブログ

アシアルの中の人が
技術と想いのたけをつづるブログ

アシアルnote

日々の活動や取り組み、
アシアルのカルチャーを紹介

ホーム
選ばれる理由
ソリューション
プロダクト
実績
会社情報
採用情報
Globalサイトポリシープライバシーポリシー
Asial logo footerCOPYRIGHT ASIAL CORPORATION. ALL RIGHTS RESERVED.
pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy