シマンテックの2017年インターネットセキュリティ脅威レポートによると、今年スキャンしたウェブサイトの76%にマルウェアが含まれていました。WordPressをご利用の場合、SUCURIの別のレポートでも、スキャンしたウェブサイトの70%以上に1つ以上の脆弱性があることが示されています。

Web アプリケーションを所有している場合、Web サイトが安全であり、機密情報が漏洩していないことをどのように確認すればよいでしょうか?

クラウドベースのセキュリティソリューションであれば、定期的な脆弱性スキャンで十分かもしれません。しかし、そうでない場合は、定期的なスキャンを実施し、セキュリティリスクを軽減するために必要な措置を講じる必要があります。

もちろん、多くの有料スキャナーには、レポート出力、アラーム、詳細な緊急ガイド、その他の追加機能など、より包括的で厳密な機能が備わっています。

Arachniは、基本的な静的ウェブサイトやCMSウェブサイトをスキャンするだけでなく、プラットフォームのフィンガープリント情報（ハードドライブのシリアル番号やネットワークカードの物理アドレス）も識別できます。アクティブチェックとパッシブチェックの両方をサポートします。

Windows、Solaris、Linux、BSD、Unix

Nginx、Apache、Tomcat、IIS、Jetty

Java、Ruby、Python、ASP、PHP

Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

検出される一般的な脆弱性の種類は次のとおりです。

NoSQL/ブラインド/SQL/コード/LDAP/コマンド/XPathインジェクション

クロスサイトリクエストフォージェリ

パストラバーサル

ローカル/リモートファイルのインクルード

応答の分割

クロスサイトスクリプティング

検証されていないDOMリダイレクト

ソースコードの開示

さらに、監査レポートを HTML、XML、テキスト、JSON、YAML などの形式で出力することもできます。

Arachniはプラグインとして、スキャン範囲をより深いレベルまで拡張するのに役立ちます。Arachniの詳細な紹介とダウンロードリンクについては、こちらをクリックしてください。

2. XssPy

注目すべき事実として、Microsoft、スタンフォード大学、モトローラ、Informatica など、多くの大企業や組織がこの Python ベースの XSS（クロスサイトスクリプティング）脆弱性スキャナーを採用しています。開発者の Faizan Ahmad 氏は非常に才能豊かです。XssPy は、ホームページや特定のページだけでなく、ウェブサイト上のすべてのリンクとサブドメインを検査できる非常にインテリジェントなツールです。そのため、XssPy のスキャンは非常に詳細かつ包括的です。

3. w3af

w3af は、2006 年後半に開始されたオープンソースの Python ベースのプロジェクトであり、Linux および Windows システムで使用できます。w3af は、OWASP Top 10 に記載されているものを含む 200 を超える脆弱性を検出できます。

w3af を使用すると、ヘッダー、URL、Cookie、文字列クエリ、POST データなどにペイロードを挿入して、Web アプリケーションの監査を可能にし、次のようなレポートを生成するためのさまざまなログ記録方法をサポートできます。

CSV

HTML

コンソール

文章

XML

メール

このプログラムはプラグインアーキテクチャに基づいて構築されています。利用可能なすべてのプラグインはここから入手できます。

w3af ダウンロード リンク: ここをクリックしてください。

4. ニクト

多くの人がNiktoをご存知でしょう。これは、Netsparker（英国に拠点を置くWebセキュリティスキャナー専門企業）が後援するオープンソースプロジェクトで、Webサーバーの設定ミス、プラグイン、Webの脆弱性を発見するように設計されています。Niktoは、6,500以上のリスクの高いプロジェクトで包括的なテストを受けています。HTTPプロキシ、SSLまたはNTLM認証をサポートし、各ターゲットスキャンの最大実行時間を決定できます。

Nikto は Kali Linux とも互換性があります。

Nikto は、エンタープライズ イントラネット ソリューション内の Web サーバーのセキュリティ リスクを特定する上で非常に有望な将来性を持っています。

ダウンロードリンク: ここをクリックしてください。

5. Wfuzz

Wfuzz（Web Fuzzer）も、侵入テストで使用されるアプリケーション評価ツールです。HTTPリクエスト内の任意のフィールドのデータを難読化することで、Webアプリケーションのレビューを可能にします。

Wfuzz では、スキャン対象のコンピューターに Python がインストールされている必要があります。

8. ベガ

Vega は、XSS、SQLi、RFI、その他多くの脆弱性を見つけるための Java で書かれたマルチプラットフォーム サポート ツールである Subgraph によって開発されました。

Vegaのグラフィカルユーザーインターフェースは比較的美しく、特定の認証情報でアプリケーションにログインすると自動スキャンを実行できます。

開発スキルがあれば、Vega API を使用して新しい攻撃モジュールを作成することもできます。

10. グラバー

これも良くできたPythonユーティリティです。主な機能は次のとおりです。

JavaScript ソースコード アナライザー

クロスサイトスクリプティング、SQLインジェクション、ブラインドSQLインジェクション

PHP-SAT を使用した PHP アプリケーションのテスト

11. ゴリスメロ

これは、Wfuzz、DNS recon、sqlmap、OpenVas、ロボット アナライザーなどの一般的なセキュリティ ツールを管理および実行するためのフレームワークです。

Golismero は非常にインテリジェントで、他のツールからのテスト フィードバックを統合し、統一された結果を出力できます。