Webセキュリティ脆弱性スキャン技術は、Webアプリケーションの潜在的な脆弱性やセキュリティリスクを検出するために使用される自動テスト手法です。Webセキュリティスキャンツールは、ハッカーの行動をシミュレートすることで、SQLインジェクション、XSS、ファイルアップロード、ディレクトリトラバーサルといった一般的な脆弱性を検出できます。Web脆弱性スキャンツールは、コードインジェクション、コード漏洩、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、セッションハイジャック、ファイル転送の脆弱性など、Webアプリケーションに存在する可能性のある脆弱性を検出するために使用できます。

Web セキュリティの脆弱性スキャンに含まれる手順は通常、次のとおりです。

• 情報収集: 対象 Web サイトの IP アドレスや Web サイトの構造などの情報を収集します。
• セキュリティ戦略を作成する: 対象の Web サイトとその情報に基づいて、必要なスキャンおよび分離戦略を策定します。
• スキャンを実行して結果を確認する: スキャン プログラムを使用して対象の Web サイトをスキャンし、ページ、入力、出力を分析し、スキャン結果を手動で確認して脆弱性を確認します。
• 修復計画の作成: スキャン結果に基づいて、対応する修復計画、および修復技術と方法を作成します。
• 脆弱性を修正して Web を維持する: 脆弱性と欠陥に対処して、Web アプリケーションのセキュリティと信頼性を確保します。

市場には多くのWebセキュリティ脆弱性スキャンソフトウェアプログラムがあり、中には商用のものもあれば、オープンソースで無料のものもあります。例えば、AppScanは人気のある商用Webセキュリティスキャンツールです。

この記事では、主に、最高の無料およびオープンソースの Web アプリケーション脆弱性スキャン ソフトウェアをいくつか紹介します。

1.OWASP ZAP（Zed攻撃プロキシ）

ソースコードアドレス: https://github.com/zaproxy/zaproxy

Zed Attack Proxy (ZAP) は、最も人気のあるオープンソースのウェブアプリケーションセキュリティテストツールの一つです。OWASP によって開発され、開発およびテスト中のウェブアプリケーションのセキュリティ脆弱性を自動検出するように設計されています。ZAP の出力レポートは非​​常に直感的で、脆弱性の兆候を明確に示し、より詳細な情報の収集を容易にします。

さらに、開発者/品質エンジニアは、CI/CD パイプライン内でアプリケーション セキュリティ回帰テストを自動化できます。

2. W3AF、Webアプリケーション監査フレームワーク

公式サイト: https://w3af.org/

GitHub ソースコードアドレス: https://github.com/andresriancho/w3af

W3afは、強力なオープンソースのWebアプリケーション攻撃および監査フレームワークです。Webアプリケーションの侵入テストプラットフォームとして、SQLインジェクションやクロスサイトスクリプティングなど、200種類以上のWebアプリケーションの脆弱性を特定することを目的としています。さらに、W3afはPythonで開発されており、グラフィカルインターフェースとコンソールインターフェースの両方を備えているため、簡単に使用できます。

3. アラクニ

ソースコードアドレス: https://github.com/Arachni/arachni

Arachniは、最新のWebアプリケーション向けの高性能オープンソースツールです。SQLインジェクション、XSS、ローカルファイルインクルード、リモートファイルインクルード、未検証のリダイレクトなど、幅広いセキュリティ問題を特定できます。

4. ニクト

ソースコードアドレス: https://github.com/sullo/nikto

Nikto は、Web サーバー上で包括的なテストを実行し、危険なファイル、古いサーバー ソフトウェア、その他の潜在的な脆弱性をチェックする、人気の高いオープンソースの Web サーバー スキャナーです。

5. スキップフィッシュ

ソースコードアドレス: https://code.google.com/archive/p/skipfish/source

ダウンロードリンク: https://code.google.com/archive/p/skipfish/downloads

Skipfishは、Googleが提供するオープンソースのウェブセキュリティスキャンツールです。ウェブサイトをクロールし、各ページを検査して様々なセキュリティ脅威を検出し、最終レポートを生成します。

このツールはC言語で開発されており、HTTP処理とCPU負荷の最小化に高度に最適化されています。CPU負荷を増加させることなく、1秒あたり2000件のリクエストを容易に処理できると謳っています。

このツールは、Linux、FreeBSD、macOS X、および Windows システムをサポートしています。

6. SQLマップ

ソースコードアドレス: https://github.com/sqlmapproject/sqlmap

SQLMapは、人気のオープンソースのウェブサイト侵入テストツールです。ウェブサイトのデータベースにおけるSQLインジェクション脆弱性を自動的に検出できます。強力な検出エンジンと多くの便利な機能を備えています。

MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、MySQL、SAP MaxDBなど、幅広いデータベースサーバーをサポートしています。時間ベースのブラインドテスト、ブールベースのブラインドテスト、エラーベースのテスト、UNIONクエリ、スタッククエリ、帯域外データインジェクションを含む、6種類のSQLインジェクション手法を完全にサポートしています。

7.Wfuzz

ソースコードアドレス: https://github.com/xmendez/wfuzz

Wfuzzは、Webアプリケーションのペネトレーションテスト用の無料オープンソースツールです。パラメータ付きのGETリクエストとPOSTリクエストを総当たり攻撃で実行し、SQL、XSS、LDAPなどの様々なインジェクション脆弱性を検出できます。Cookieファジング、マルチスレッド、SOCKS、プロキシ、認証、パラメータ総当たり攻撃、複数プロキシなど、様々なWeb環境をサポートしています。ただし、GUIインターフェースが提供されていないため、コマンドラインインターフェースを使用する必要があります。