マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

おすすめITセミナー資料

2022.10.31

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選として、
以下の概要を紹介しています。

1⃣オープンソース侵入テストツール「OWASP ZAP」
2⃣Web脆弱性スキャナー「Wapiti」
3⃣データベースサーバ向け侵入テストツール「sqlmap」

※「次世代型セキュリティテスト:Synack」に関するセミナー資料(9ページ)を無料で参照できます。

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

1⃣オープンソース侵入テストツール「OWASP ZAP」

概要

「OWASP ZAP」(Open Web Application Security Project – Zed Attack Proxy)は、

OWASPの傘下で維持されている無料のオープンソース侵入テストツールです。

特に、Webアプリケーションテスト用に設計されており、柔軟性と拡張性を兼ね備えています。

「主要OS」および「Docker」ごとにバージョンがリリースされています。

ユースケース

・Webアプリケーションのセキュリティ脆弱性を自動的に検出
・経験豊富なペンテスターが手動セキュリティテストに使用

特徴

■中間者プロキシ
・「テスト用ブラウザ」と「Webアプリケーション」の間に中間者として立つ
・「テスト用ブラウザ」と「Webアプリケーション」の間で送信されるメッセージを傍受して検査
・必要に応じて内容を変更
・それらのパケットを宛先に転送
・「スタンドアロンアプリ」および「デーモンプロセス」として動作

■豊富な機能
・さまざまなスキルレベルに対応する機能を提供
・「開発者」「セキュリティテストに不慣れなテスター」「セキュリティテストのスペシャリスト」

■ZAP Marketplace
・さまざまなアドオンから自由に入手
・ZAPクライアント内からアクセス可能

オフィシャルサイト

→github.com →zaproxy/zaproxy

→zaproxy.org

2⃣Web脆弱性スキャナー「Wapiti」

概要

「Wapiti」は、Pythonで書かれた「Web脆弱性スキャナー」です。

「Webサイト」または「Webアプリケーション」のセキュリティ監査を実施できます。

正しく動作させるために「Python 3.x」を必要とします。

特徴

■「ブラックボックス」脆弱性スキャナー
・Webアプリケーションのソースコードを調査しない
・ファザーのように機能
・デプロイされたWebアプリのページをスキャンしてクロール
・データを挿入できる「スクリプト」「フォーム」を探す
・リンクとフォームを抽出してスクリプトを攻撃
・ペイロードを送信し「エラーメッセージ」「特殊な文字列」「異常な動作」を探索

■主な機能
・脆弱性レポート生成 :「HTML」「XML」「JSON」「TXT」「CSV」
・一時停止および再開 :sqlite3データベースを使用したセッションメカニズム
・さまざまなレベルの冗長性
・各攻撃モジュールを簡単にアクティブ化(非アクティブ化)
・ペイロード追加 :テキストファイルに行を追加するのと同じくらい簡単
・HTTP要求を実行するための同時タスク数設定

オフィシャルサイト

→github.com →wapiti-scanner/wapiti

→wapiti-scanner.github.io

3⃣データベースサーバ向け侵入テストツール「sqlmap」

概要

「sqlmap」は、「自動SQLインジェクション」および「データベーステイクオーバー」ツールです。

侵入テストツールとして、SQLインジェクション欠陥を検出して、データベースサーバを乗っ取るプロセスを自動化します。

特徴

・多くのデータベースに対応
・6つの「SQLインジェクション手法」を完全にサポート
・SQLインジェクションを経由せずにデータベースへの直接接続をサポート
・データベース情報取得 :「データベーステーブル全体」「エントリの範囲」「特定の列」などのダンプ
・パスワードハッシュ形式の自動認識機能
・辞書ベースの攻撃を使用したクラッキングのサポート
・特定の列の検索 :資格情報を含むテーブルを識別
・帯域外ステートフルTCP接続の確立をサポート :「コマンドプロンプト」「Meterpreter」「VNC」
・Meterpreterコマンドによるデータベースプロセスのユーザー権限昇格のサポート

オフィシャルサイト

→github.com →sqlmapproject/sqlmap

→sqlmap.org

関連セミナー紹介『次世代型セキュリティテスト:Synack』

セミナータイトル

従来のセキュリティテストで網羅できない攻撃を洗い出す
〜米国政府も採用した、次世代型セキュリティテスト「Synack」の紹介〜

開催日

2022/09/14(水)

セミナー資料

資料タイトル

クラウドソースセキュリティプラットフォーム
Synack

資料ページ数

9ページ

資料イメージ

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

資料アジェンダ

■Synack 会社概要

■”Hack the Pentagon”をご存知ですか? – 報奨金制度と戦術の転換 –
・クラウドソースセキュリティ: 集団力(ヒューマンインテリジェンス)の活用

■Synack プラットフォーム
・安全と信頼を支える仕組み︓参加者の採用プロセス
・ランサムウェア対策
・Synackが選ばれる理由

「セミナー資料ダウンロード」はこちらから(無料)

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

最後に

今後も毎日のように、多くのIT関連セミナーが開催されます。
ご自分のビジネスを強化できるセミナーを見つけて、ぜひ参加してみてください!

→マジセミTOPページ

関連ページ

「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~

→マジセミドライブ →「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~

【ツール紹介】無料オープンソース「 バグバウンティ ハンター向けツール 」まとめ3選

→マジセミドライブ →【ツール紹介】無料オープンソース「 バグバウンティ ハンター向けツール 」まとめ3選


参考サイト
→esecurityplanet.com →「10 Top Open Source Penetration Testing Tools」
→hackr.io →「Top 10 Open Source Security Testing Tools for Web Applications」
→cigniti.com →「10 Open Source Security Testing Tools to Test Your Website」

おすすめの記事

【デジタル寺田の3分用語解説】「 VMWare 問題 」とは?🖥️

デジタル寺田の3分用語解説

2024.11.18

【デジタル寺田の3分用語解説】「 VMWare 問題 」とは?🖥️

「 VMWare 」の仮想化技術は、「ITインフラの効率化」に大きく貢献する技術ですが、Broadcomによる買収後のライセンス変更が大きな問題として注目されています。柔軟で慎重な契約見直しが今後の鍵となります。

【デジタル寺田の3分用語解説】「 2029年問題 」とは?📅

デジタル寺田の3分用語解説

2024.11.18

【デジタル寺田の3分用語解説】「 2029年問題 」とは?📅

「 2029年問題 」とは、高校でのデジタル教育改革により、新入社員と既存社員間でデジタルスキル格差が拡大する懸念を指します。企業は早急に対応が求められています。この格差は、企業競争力や業務効率にも、影響を及ぼす可能性があります。

【デジタル寺田の3分用語解説】「 経済産業省:コンテンツ制作のための 生成AI 利活用ガイドブック 」とは?📘

デジタル寺田の3分用語解説

2024.11.18

【デジタル寺田の3分用語解説】「 経済産業省:コンテンツ制作のための 生成AI 利活用ガイドブック 」とは?📘

経済産業省による「 生成AI 利活用ガイドブック 」は、企業やクリエイター向けに、安心して「生成AI」を利用するための、「指針」「実例」「注意点」を明示しています。「業務効率化」や「新しいアイデア創出」の支援を目的としています。