ウィリアムのいたずらの、まちあるき、たべあるき

ウィリアムのいたずらが、街歩き、食べ物、音楽等の個人的見解を主に書くブログです(たま~にコンピューター関係も)

無償のWeb脆弱性テストツールとWebアプリケーションファイヤウォールなどなどの話

2005-11-30 10:29:31 | JavaとWeb

 日経システム構築2005年12月号に載っていた、Webの脆弱性の調査ツールなどなどの記事について、
 日経システム構築に載っているサイトって、わかりにくいページがのっていたり、使い方のページが載っていないので、使い方がわかんなーい!と思うので、ここで、フォローしてみたりする。



無償の脆弱性テストツール:自動的にテストしてくれる



■■ Nessus
ここ
http://www.nessus.org/

使い方の説明についてなどは、
【連載 】高機能スキャナ「Nessus」を使ったセキュリティ診断

■■ Nikto
ここ
http://www.cirt.net/code/nikto.shtml

使い方の説明についてはこんなところ
http://kinshachi.ddo.jp/kurage/html/MT/comp/archives/000387.html
http://bal4u.dip.jp/mt/server/archives/2004/10/webtopzlebxli_n.html
http://www.altech-ads.com/product/10001240.htm

■■ Wikito ■■
NikitoのWindows版。日経システム構築の紹介してある会社のページからは、探しにくいと思う。
このページから、ダウンロードできるみたい
http://www.sensepost.com/research/wikto/

スクリーンショットもそこにあるし、ドキュメントもダウンロードできるけど。。。登録が必要かもかも



無償の脆弱性テストツール:手作業の支援をするもの


■■ Achilles■■ 
 アキレスといっても、この会社ではない。(あたりまえじゃ ^^;)
ここ
http://www.mavensecurity.com/achilles
そのページによると、このソフトは

The first publicly released general-purpose web application security assessment tool. Achilles acts as a HTTP/HTTPS proxy that allows a user to intercept, log, and modify web traffic on the fly.

なんだって。

 で、さらに、そのページに、「presentation pageにいくと、Webアプリケーションのセキュリティをテストするために、achillesをどうやって使うかについて見れるよー」ってことらしいので(ウィリアムのいたずらの訳によると)、いってみると(ここ) 
(以下、表題のみ、ウィリアムのいたずらが一部日本語に訳して&ないしはかたかなにして、引用)


 ウェブアプリケーション ハッキング
 最新のハッカーツールと、テクニック!(2005-10)
 アタック ポータルポイント&クリックハッキング
 セッションIDケーススタディ


 おお、さっきのツールの説明は、結局どこにあるのだかわかんないけど(じゃ、だめじゃん ^^;)心引かれる題名です。

 って、話それてきたんで、つぎ

■■ Paros ■■ 
ここ
http://www.parosproxy.org/index.shtml

使い方については、ここらへん

■■ WebScarab ■■
ここ
http://www.owasp.org/software/webscarab.html
で、これがEclipsのプラグインで動くらしく
ここ
http://linux.softpedia.com/get/System/Networking/WebScarab-for-Eclipse-6898.shtml
このページから、スクリーンショットがみれるようになっている。
ここにもスクリーンショットがあったりする



有償の脆弱性テストツール:有償だけど、有名なやつ


■■ AppScan ■■
ここ(テクマトリックスのページ)
http://www.techmatrix.co.jp/products/security/watchfire/prod/appscan.html



WAF(Webアプリケーションファイヤーウォール)について



 ちょっと、話がちがってくるけど、その記事にでていた、WAFについて。
 その記事に紹介されているページだと、わかりにくいとおもうので、このページのほうが、いいんじゃないかっつーページを書いてみました。

■■ ModSecurity■■
Apache用
すべて、ここにまとまっている

■■ Guardian@JUMPERZ.NET■■
IISでも使えるらしい。
ここに日本語ユーザーズマニュアルがあるので、こちらからはいって、ダウンロードサイトにいったほうがいい



ログ解析ツールででていたものについて



マイクロソフトが出している、LogPaserは、このページのほうが、わかりやすいかも


そのほかで、記事のなかにあったものについてのフォロー



 ちなみに、その記事の13、14あたりの規約については、そのほかの規約と一緒に、このページにまとめてあったりする

 なお、その記事の11で、脅威モデルについて、マイクロソフトの説明ページがのっているが、中途半端なページ(第一部、脅威とその対策の紹介の3番目「脅威モデルを作成する」)からなので、そうではなく、はじめのページからみたほうがいいと思います。

 初めのページは、ここ
 Web アプリケーション セキュリティ強化: 脅威とその対策

P.S このブログは、ブログルポの評価システムで、評価できるようにしてあります。気が向いたら、したのURLをクリックして、評価してね!
この記事を評価する



ランキングに参加中。クリックして応援お願いします!

この記事についてブログを書く
 
 
 
 
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 11月30日のメルマガは、... | トップ | PHPで、SOAっぽい?ことを... »
最新の画像もっと見る

JavaとWeb」カテゴリの最新記事

カレンダー

2024年6月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30

ブログランキング


人気ブログランキングへ

アクセス状況

アクセスアクセス
閲覧 1,630 PV UP!
訪問者 819 IP UP!
トータルトータル
閲覧 34,427,658 PV 
訪問者 8,476,265 IP 
ランキングランキング
日別 466 UP!
週別 657 DOWN!

プロフィール

自己紹介
ろくでもない人です。

最新コメント

バックナンバー

ブックマーク

goo
最初はgoo
  • RSS2.0