セキュリティ診断ツール

セキュリティ診断ツール検証用Webアプリケーション

OWASP Broken Web Applications Project (OWASPBWA)

• いわゆる「やられサイト」は古今東西、様々な言語や形態(ソースコード、VMイメージなど)で存在していますが、OWASPのこのプロジェクトをフォローすれば十分でしょう。
• プロジェクトに含まれる「やられサイト」一覧
  • https://code.google.com/p/owaspbwa/wiki/UserGuide#Training_Applications

診断ツールの参考サイト

• 初心者Webアプリケーション開発者がチェックすべき情報源2013
• Appendix A: Testing Tools - OWASP
• Web Application Vulnerability Scanners - SAMATE

Webアプリケーション

有償

• AppScan (Watchfire → IBM)
• WebInspect (SPI Dynamics → HP)

無償

• OWASP Zed Attack Proxy (OWASP ZAP)
  • 第5回セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^) for ルーキーズ - セキュリティ診断 勉強会 | Doorkeeper
  • 第4回セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^) - セキュリティ診断 勉強会 | Doorkeeper
  • 第3回セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^) - セキュリティ診断 勉強会 | Doorkeeper
  • 第2回セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^) - セキュリティ診断 勉強会 | Doorkeeper
  • 第1回　（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^) - セキュリティ診断 勉強会 | Doorkeeper
    2014年8月26日の19時から開催します。主催は私（Wiki主）です。お時間が許すならば是非お越しください
  • 2014年5月21日にバージョン2.3.1が公開されました。
    Downloads - zaproxy - OWASP ZAP: An easy to use integrated penetration testing tool for finding vulnerabilities in web applications. - Google Project Hosting
  • OWASPが提供しているセキュリティ診断ツールです。
    大元は「Paros」というツールで、派生版の「Andiparos」を経て「ZAP」となりました。

    Andiparos
    
    Andiparos is a fork of the famous Paros Proxy. It is an open source web application security assessment tool that gives penetration testers the ability to spider websites, analyze content, intercept and modify requests, etc.
    ... 中略 ...
    
    Note: The ZAP Attack Proxy project and the Andiparos project have joined forces. Andiparos features will be integrated into ZAP Attack Proxy in the course of time. Whilst new features will be integrated into ZAP, there might be updates of Andiparos focusing on the stability of the tool.

• Burp Suite
  • PortSwigger社のセキュリティ診断ツールです。
    有償版「Burp Suite Professional」もあります。
    有償版の最新はBurp Suite Professional - release notes: v1.5.21です。（2014年03月03日現在）

• skipfish - Project Hosting on Google Code
  • Google製のセキュリティ診断ツールです。
    「High speed」で「Ease of use」、かつ、「Cutting-edge security logic」だそうで。
    現在試用中。試用レポートはそのうち書くとか書かないとか。。。
    
  • ってみました。 - はじめに。
  • skipfishインストールメモ | Linux | 俺のメモ
  • Skipfishで定義されているWebアプリに対するテスト一覧 » LandEscape Graphics
  • 2010-03-23 - SecuDiary
  • skipfish導入メモ - 赤い雪

• Cross Site Scripting scanner – Free XSS Security Scanner
  • Acunetix社のWebアプリケーション脆弱性診断ツール"Acunetix Web Vulnerability Scanner"のFree Editionです。
    ツール評価用のテストサイトが提供されています。
  • お値段はAcunetix Web Vulnerability Scanner: Pricingにあります。
• ratproxy - Google Code
  • インストールや使用方法はGoogle Ratproxy - Part 1 (Building Ratproxy in Windows)とGoogle Ratproxy - Part 2 (Running and Using Ratproxy)を参照してください。
    英語ですが、特に難しい表現はないと思います。
    
  • Googleが作ったWebセキュリティ・ツール「ratproxy」：ITpro
    ツールの特徴が日本語で詳細に解説されています。
  • Windows上で動かすにはCygwinが必要です。
    こちらの解説は、Untitled: CygwinやCygwin に関する予備知識がわかりやすいと思います。
    ただ、どちらも更新されていないようなので、最新のCygwin事情にマッチしない記事があるかもしれません。私はとりあえず困っていないので、最近のCygwin事情を追っかけていません。あしからず。
  • インストールや使用方法についてご質問がありましたら、お気軽にこちらでお問い合わせください。
• Nikto | CIRT.net
  • 診断対象にWebアプリケーションを見つけたら、このツールで基本的かつ網羅的な検証を。Nikto - 唯我独尊にてツールの解説を作成中です。
• Wikto: Web Server Assessment Tool
  • GUIでNiktoな診断を行うツール。
• Category:OWASP Pantera Web Assessment Studio Project - OWASP
  • インストールが結構面倒。なんとなく進めたら動きませんでした。。。
  • 2008/07/23追記：Windows用インストーラが公開されています。
    インストール顛末記はこちら。
• Grabber! Like a Petit Pimouss':
  • 動作が軽快、かつ、カスタマイズしやすそうです。ただ、サイトにも記述がありますが、大規模なサイトの診断には不向きなようです。
• Crowbar: Generic Web Brute Force Tool
  • 総当り攻撃検証ツール。

• fuzzdb - Attack and Discovery Pattern Database for Application Fuzz Testing - Google Project Hosting
  • Mozilla、Webアプリ脆弱性テストのためのデータベース「FuzzDB」を発表 | SourceForge.JP Magazine
    

    Mozillaの開発者は8月16日、アプリケーションの脆弱性テスト（Fuzzテスト）に向けたさまざまなリソースを集めたデータベース「FuzzDB」をオープンソースで公開したことを発表した。Webアプリケーションのセキュリティテストなどさまざまな用途に利用できる可能性があるとしている。

• pywebfuzz - A Python module to assist in fuzzing web applications - Google Project Hosting
  

  pywebfuzz is a Python module to assist in the identification of vulnerabilities in web applications through brute force methods.
  
  pywebfuzzは総当り方式にてWebアプリケーションの脆弱性の検出を支援するPythonモジュールです。

脆弱性カテゴリ別

• クロスサイトリクエストフォージェリ (CSRF, XSRF)
  • Category:OWASP CSRFTester Project - OWASP
    CSRF脆弱性が存在するかを検証するツール。JREが必要です。
    「1.入力画面」→「2.確認画面」→「3.完了画面」のような一連のフローを連続して実行しなければならない処理に対しても検証可能です。

Androidアプリケーション

• 有償
  • Secure Coding Checker | ソニーデジタルネットワークアプリケーションズ株式会社
    

    Secure Coding CheckerはAndroidアプリの脆弱性を検査するツールです。検査したいAndroidアプリをスキャンすると、脆弱性が含まれていないかを確認できるだけでなく、もし脆弱性が発見された場合は、その問題の修正方法が表示されるため、すぐにアプリを修正し安全性を高めることができます。

    本ツールは、『Androidアプリのセキュア設計・セキュアコーディングガイド』に100％準拠しているとのこと。

ネットワーク系

有償

• Nessus
  定番ネットワークスキャナー。個人的使用かつ診断対象IPアドレスが16個までなら無償。
  2014年2月14日に株式会社東陽テクニカがNessusの販売元である米Tenable Network Security社と、日本国内における販売およびサポート体制を強化する方針に合意し、国内総販売代理店契約を締結したと発表しました。
  
  • WindowsXP に nessus をインストールする
  • 高機能スキャナ「Nessus」を使ったセキュリティ診断第1回：Nessusインストール
• Retina Network Security Scanner　- eEye Digital Security - SCS 住商情報システム株式会社
• Qualys, Inc. - On Demand Vulnerability Management and Policy Compliance
  • 日本法人：クォリスジャパン株式会社

無償

• OpenVAS - Open Vulnerability Assessment System Community Site
  • Nessusから派生したセキュリティ診断ツールです。ソースコードはGNU GPL(The GNU General Public License)で提供されています。
  • OpenVASを使ったセキュリティ監査 - SourceForge.JP Magazine
  • OpenVAS - Protocol Documentation
  • OpenVAS v6 を Ubuntu 13.10 (Saucy Salamander) にインストール - まじめにゆいがどくそん
    もしよろしければインストールや運用のお供に。

• Nmap
  こちらもおなじみ定番ネットワークスキャナーです。
  • Zenmap - Official cross-platform Nmap Security Scanner GUI
    Nmapオフィシャルの、マルチプラットフォーム*1かつオープンソースなGUIです。
    Targetにスキャンするホスト情報を入力し、デフォルトで用意されているProfileを適当に選択すると初心者でも簡単にスキャンできちゃう！　といった感じを目指しているとのことですが、実際はデフォルトのProfileそのままでは良い結果が得られない可能性が高いです。
    結局、コマンドラインに指定する様々なオプションの意味をコツコツと学ばないとNmapの本領は発揮できません。当然ですが。
  • 古いバージョンが対象ですが、日本語に翻訳されたマニュアルがあります。
• グラフィカルなネットワーク・スキャナー、Umit - SourceForge.JP Magazine
  こちらもオープンソースなGUI。まだ実際に使用していないので、Zenmapとの違いは不明です。
   

データベース

• データベース・セキュリティ・コンソーシアム（DataBase Security Consortium）
  • データベース・セキュリティ・コンソーシアム（DataBase Security Consortium） 成果物
• Database Security
• Database Scanning Tools - SAMATE
  • 「Tools」といいつつ、具体的なツールの紹介はありません。
• Scan NetSecurity 特別増刊　「5分でわかるデータベース・セキュリティ対策の要点」：第1回 データベースセキュリティに注目が集まる訳

セキュリティ診断ツール

• 有償
  • Database Security - Products - Next Generation Security Software
    • 国内代理店：三菱総研DCS株式会社
    • RDBMS別にツールが存在する。
    • 評価版(30days)あり。
  • Application Security Inc. - Database Vulnerability Assessment
    • 国内独占販売パートナー：株式会社ラック
      AppDetective（アップディテクティブ）のご紹介【LAC|ラック】- データベース脆弱性検査ツール
    • 評価版(30days)あり。
  • DB Audit
• 無償
  • 無償データベース脆弱性スキャナ | Scuba（スキューバ） by Imperva 製品情報

監視ツール

• データベース・セキュリティ管理システム(IPLOCKS)アイピーロックス
• データベースセキュリティ・DB監査ソリューション「SQL Guard」製品概要
• データベース監視ツール Chakra製品(チャクラ) 【ネットワールド】
• Insight Technology, Inc. - データベース監査ツール PISO
   

診断補助ツール

Webブラウザ

• Internet Explorer
  • ieHTTPHeaders
• Firefox
  • Live HTTP Headers

画面キャプチャ

• Capture STAFF - Light - (for Windows95/98/98SE/ME/NT/2000/XP)
  個人的No.1*2画面キャプチャツール。
  サクサクとキャプチャしまくってから必要なものだけを選んで好きな場所にまとめて保存が簡単に出来ます。
  もし、これより使い勝手が良い画面キャプチャツールがあったら是非教えてください。
   

マウス・キーボード操作自動化

• UWSC
  • 有償のPro版と無償のFree版があります。
• RocketMouse
  • 有償*3です。3週間試用できます

セキュリティ書房(Amazonインスタントストア)