マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

おすすめITセミナー資料

2022.10.31

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選として、
以下の概要を紹介しています。

1⃣オープンソース侵入テストツール「OWASP ZAP」
2⃣Web脆弱性スキャナー「Wapiti」
3⃣データベースサーバ向け侵入テストツール「sqlmap」

※「次世代型セキュリティテスト:Synack」に関するセミナー資料(9ページ)を無料で参照できます。

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

1⃣オープンソース侵入テストツール「OWASP ZAP」

概要

「OWASP ZAP」(Open Web Application Security Project – Zed Attack Proxy)は、

OWASPの傘下で維持されている無料のオープンソース侵入テストツールです。

特に、Webアプリケーションテスト用に設計されており、柔軟性と拡張性を兼ね備えています。

「主要OS」および「Docker」ごとにバージョンがリリースされています。

ユースケース

・Webアプリケーションのセキュリティ脆弱性を自動的に検出
・経験豊富なペンテスターが手動セキュリティテストに使用

特徴

■中間者プロキシ
・「テスト用ブラウザ」と「Webアプリケーション」の間に中間者として立つ
・「テスト用ブラウザ」と「Webアプリケーション」の間で送信されるメッセージを傍受して検査
・必要に応じて内容を変更
・それらのパケットを宛先に転送
・「スタンドアロンアプリ」および「デーモンプロセス」として動作

■豊富な機能
・さまざまなスキルレベルに対応する機能を提供
・「開発者」「セキュリティテストに不慣れなテスター」「セキュリティテストのスペシャリスト」

■ZAP Marketplace
・さまざまなアドオンから自由に入手
・ZAPクライアント内からアクセス可能

オフィシャルサイト

→github.com →zaproxy/zaproxy

→zaproxy.org

2⃣Web脆弱性スキャナー「Wapiti」

概要

「Wapiti」は、Pythonで書かれた「Web脆弱性スキャナー」です。

「Webサイト」または「Webアプリケーション」のセキュリティ監査を実施できます。

正しく動作させるために「Python 3.x」を必要とします。

特徴

■「ブラックボックス」脆弱性スキャナー
・Webアプリケーションのソースコードを調査しない
・ファザーのように機能
・デプロイされたWebアプリのページをスキャンしてクロール
・データを挿入できる「スクリプト」「フォーム」を探す
・リンクとフォームを抽出してスクリプトを攻撃
・ペイロードを送信し「エラーメッセージ」「特殊な文字列」「異常な動作」を探索

■主な機能
・脆弱性レポート生成 :「HTML」「XML」「JSON」「TXT」「CSV」
・一時停止および再開 :sqlite3データベースを使用したセッションメカニズム
・さまざまなレベルの冗長性
・各攻撃モジュールを簡単にアクティブ化(非アクティブ化)
・ペイロード追加 :テキストファイルに行を追加するのと同じくらい簡単
・HTTP要求を実行するための同時タスク数設定

オフィシャルサイト

→github.com →wapiti-scanner/wapiti

→wapiti-scanner.github.io

3⃣データベースサーバ向け侵入テストツール「sqlmap」

概要

「sqlmap」は、「自動SQLインジェクション」および「データベーステイクオーバー」ツールです。

侵入テストツールとして、SQLインジェクション欠陥を検出して、データベースサーバを乗っ取るプロセスを自動化します。

特徴

・多くのデータベースに対応
・6つの「SQLインジェクション手法」を完全にサポート
・SQLインジェクションを経由せずにデータベースへの直接接続をサポート
・データベース情報取得 :「データベーステーブル全体」「エントリの範囲」「特定の列」などのダンプ
・パスワードハッシュ形式の自動認識機能
・辞書ベースの攻撃を使用したクラッキングのサポート
・特定の列の検索 :資格情報を含むテーブルを識別
・帯域外ステートフルTCP接続の確立をサポート :「コマンドプロンプト」「Meterpreter」「VNC」
・Meterpreterコマンドによるデータベースプロセスのユーザー権限昇格のサポート

オフィシャルサイト

→github.com →sqlmapproject/sqlmap

→sqlmap.org

関連セミナー紹介『次世代型セキュリティテスト:Synack』

セミナータイトル

従来のセキュリティテストで網羅できない攻撃を洗い出す
〜米国政府も採用した、次世代型セキュリティテスト「Synack」の紹介〜

開催日

2022/09/14(水)

セミナー資料

資料タイトル

クラウドソースセキュリティプラットフォーム
Synack

資料ページ数

9ページ

資料イメージ

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

資料アジェンダ

■Synack 会社概要

■”Hack the Pentagon”をご存知ですか? – 報奨金制度と戦術の転換 –
・クラウドソースセキュリティ: 集団力(ヒューマンインテリジェンス)の活用

■Synack プラットフォーム
・安全と信頼を支える仕組み︓参加者の採用プロセス
・ランサムウェア対策
・Synackが選ばれる理由

「セミナー資料ダウンロード」はこちらから(無料)

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

最後に

今後も毎日のように、多くのIT関連セミナーが開催されます。
ご自分のビジネスを強化できるセミナーを見つけて、ぜひ参加してみてください!

→マジセミTOPページ

関連ページ

「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~

→マジセミドライブ →「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~

【ツール紹介】無料オープンソース「 バグバウンティ ハンター向けツール 」まとめ3選

→マジセミドライブ →【ツール紹介】無料オープンソース「 バグバウンティ ハンター向けツール 」まとめ3選

参考サイト
→esecurityplanet.com →「10 Top Open Source Penetration Testing Tools」
→hackr.io →「Top 10 Open Source Security Testing Tools for Web Applications」
→cigniti.com →「10 Open Source Security Testing Tools to Test Your Website」

この記事のタグ一覧

フリーワード検索

カテゴリー一覧

アクセスランキング

おすすめの記事

【デジタル寺田の3分用語解説】 「 ウェルビーイング 」とは?😊

デジタル寺田の3分用語解説

2025.03.10

【デジタル寺田の3分用語解説】 「 ウェルビーイング 」とは?😊

「 ウェルビーイング 」とは、身体的・精神的な健康だけでなく、社会的・経済的にも満たされた状態を指します。企業にとっては、健康経営の推進により生産性向上や離職率低下などのメリットがあります。本記事では、ウェルビーイングが注目される背景や企業の具体的な取り組みについて詳しく解説します。

【デジタル寺田の3分用語解説】 「 心理的安全性 」が無い職場とは?🤐

デジタル寺田の3分用語解説

2025.03.17

【デジタル寺田の3分用語解説】 「 心理的安全性 」が無い職場とは?🤐

「 心理的安全性 」が低い職場とはどのような環境なのか、具体的な特徴を解説します。「質問しづらい雰囲気」「失敗を報告できない隠蔽体質」「発言をためらう風土」など、心理的安全性の欠如がもたらす影響を詳しく紹介し、安全な職場づくりの重要性も解説します。

【デジタル寺田の3分用語解説】 「 AIエージェント 」は、人間の管理職の代わりになるか?🤖

デジタル寺田の3分用語解説

2025.03.11

【デジタル寺田の3分用語解説】 「 AIエージェント 」は、人間の管理職の代わりになるか?🤖

「 AIエージェント 」は営業マネージャーの業務をどこまで代行できるのか?「データ分析」「フィードバック」「自動日程調整」の可能性を探り、未来の管理職のあり方を考察します。AIが進化する中で、人間の役割はどう変わるのか詳しく解説します。

人気のタグから探す