脆弱性診断ツール

• Vuls・OpenVAS・Amazon Inspectorを徹底比較
• OSSのシステム脆弱性スキャン・検査ツール「OpenVAS」「Vuls」「OpenSCAP」を使ってみよう
• Webアプリケーション用 フリーの脆弱性診断ツールまとめ

サーバ脆弱性診断 †

Vuls †

• OSS版

• 脆弱性検知ツールVulsの、きちんと動く構築手順
• あなたのサーバは本当に安全ですか？今もっともイケてる脆弱性検知ツールVulsを使ってみた
• 脆弱性スキャナVulsで始めるセキュリティ対策

OpenVAS †

• OpenVASで簡易的な脆弱性スキャン

Nessus †

Webアプリケーション脆弱性診断 †

OWASP Zed Attack Proxy Project †

• OWASP ZAPで開発中にセキュリティ診断！
• 脆弱性診断ツール OWASP ZAP vs 脆弱性だらけのWebアプリケーションEasyBuggy
• OWASP Top 10 - 2017 の紹介
• OWASP ZAPでWEBサイトの脆弱性を簡易チェックする方法まとめ

使い方 †

• 「プロテクトモード」に設定
• ブラウザでプロキシ設定を変更し、ZAPを通す
• 動的スキャンの対象を登録
• ブラウザでウェブアプリケーションにアクセスし、診断対象となる画面まで遷移
• OWASP ZAPの「履歴」タブ内で、診断対象画面に対応するURLを特定
• 特定できたら、以下の手順に従ってOWASP ZAPに診断対象として登録
  • 特定した行を右クリックして「サイトタブで表示」をクリック
  • 左上のサイトタブ内で選択されたノードを含む上位ディレクトリを右クリック
  • コンテキストメニューの「Include in Context」→「New Context」をクリック
  • 「セッション・プロパティ」ダイアログ右下の［OK］ボタンをクリック

プロキシとして使用してテスト †

• OWASP ZAPをプロキシとして使用し、リクエストを再現して脆弱性チェックする方法

VAddy †

ペネトレーションテストツール †

OWASP-ZAP †

Metasploit †

ファジングツール †

• ファジング：FAQ