公開日:2012/05/13、更新日:2014/06/22
脆弱性診断ツールについて、以下の視点でピックアップしてまとめています。
- 無償系
- 有名で利用者が多い
- 比較的最近に更新されている事
なお、これらのツールを利用する際は、必ず自分が管理するサーバのみとしてください。
ピックアップしているツールの簡易一覧表
以下の3つのツールについて記載しています。
ツール種別 | ツール名 | 最新バージョン | 実行方法 |
N/Wスキャナー | Nmap | 5.51 rpm repo(2013-03-20) | コマンドライン |
Webサーバ診断 | nikto | 2.1.5(2012-09-16) | コマンドライン |
Webアプリ診断 | OWASP Zed Attack Proxy | 2.3.1(2014-06-22) | GUI |
Nmap
Nmap(Network Mapper)は定番的なネットワークスキャナーであり、ネットワーク調査やセキュリティ監査を行う為のオープンソースのツールです。豊富なオプションがあります。
nikto
Webサーバと、そのWebサーバで稼動している「既知のWebアプリケーション(※)」に対して、既に公表されているセキュリティホールやセキュリティ上で問題のある設定を、辞書ベースでスキャンできるツールです。
※世間に一般的に知られており、利用されているWebアプリケーションソフトウェアの事を指します。個別用途で開発されたWebアプリケーションソフトウェアは含みません。
OWASP Zed Attack Proxy (ZAP)
Webアプリケーションの脆弱性を診断できるツールです。自社開発したWebアプリケーション等に対して利用するケースが多いと思います。プロキシを用いた手動クロールによるスキャンや、動的スキャン、スパイダー検索などの多くの診断手法が可能となっています。
本コンテンツを作成した時には、日本での情報はほとんどない状態でしたが、現在(2014/06/22)は情報が増えてきたと思います。公式サイトではさらに情報が出てきています。
(@_@;)b 良い!