マジセミドライブ
ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。
おすすめITセミナー資料
2022.10.31
【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選
【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選として、
以下の概要を紹介しています。
1⃣オープンソース侵入テストツール「OWASP ZAP」
2⃣Web脆弱性スキャナー「Wapiti」
3⃣データベースサーバ向け侵入テストツール「sqlmap」
※「次世代型セキュリティテスト:Synack」に関するセミナー資料(9ページ)を無料で参照できます。
コンテンツ
【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選
1⃣オープンソース侵入テストツール「OWASP ZAP」
概要
「OWASP ZAP」(Open Web Application Security Project – Zed Attack Proxy)は、
OWASPの傘下で維持されている無料のオープンソース侵入テストツールです。
特に、Webアプリケーションテスト用に設計されており、柔軟性と拡張性を兼ね備えています。
「主要OS」および「Docker」ごとにバージョンがリリースされています。
ユースケース
・Webアプリケーションのセキュリティ脆弱性を自動的に検出
・経験豊富なペンテスターが手動セキュリティテストに使用
特徴
■中間者プロキシ
・「テスト用ブラウザ」と「Webアプリケーション」の間に中間者として立つ
・「テスト用ブラウザ」と「Webアプリケーション」の間で送信されるメッセージを傍受して検査
・必要に応じて内容を変更
・それらのパケットを宛先に転送
・「スタンドアロンアプリ」および「デーモンプロセス」として動作
■豊富な機能
・さまざまなスキルレベルに対応する機能を提供
・「開発者」「セキュリティテストに不慣れなテスター」「セキュリティテストのスペシャリスト」
■ZAP Marketplace
・さまざまなアドオンから自由に入手
・ZAPクライアント内からアクセス可能
オフィシャルサイト
2⃣Web脆弱性スキャナー「Wapiti」
概要
「Wapiti」は、Pythonで書かれた「Web脆弱性スキャナー」です。
「Webサイト」または「Webアプリケーション」のセキュリティ監査を実施できます。
正しく動作させるために「Python 3.x」を必要とします。
特徴
■「ブラックボックス」脆弱性スキャナー
・Webアプリケーションのソースコードを調査しない
・ファザーのように機能
・デプロイされたWebアプリのページをスキャンしてクロール
・データを挿入できる「スクリプト」「フォーム」を探す
・リンクとフォームを抽出してスクリプトを攻撃
・ペイロードを送信し「エラーメッセージ」「特殊な文字列」「異常な動作」を探索
■主な機能
・脆弱性レポート生成 :「HTML」「XML」「JSON」「TXT」「CSV」
・一時停止および再開 :sqlite3データベースを使用したセッションメカニズム
・さまざまなレベルの冗長性
・各攻撃モジュールを簡単にアクティブ化(非アクティブ化)
・ペイロード追加 :テキストファイルに行を追加するのと同じくらい簡単
・HTTP要求を実行するための同時タスク数設定
オフィシャルサイト
→github.com →wapiti-scanner/wapiti
3⃣データベースサーバ向け侵入テストツール「sqlmap」
概要
「sqlmap」は、「自動SQLインジェクション」および「データベーステイクオーバー」ツールです。
侵入テストツールとして、SQLインジェクション欠陥を検出して、データベースサーバを乗っ取るプロセスを自動化します。
特徴
・多くのデータベースに対応
・6つの「SQLインジェクション手法」を完全にサポート
・SQLインジェクションを経由せずにデータベースへの直接接続をサポート
・データベース情報取得 :「データベーステーブル全体」「エントリの範囲」「特定の列」などのダンプ
・パスワードハッシュ形式の自動認識機能
・辞書ベースの攻撃を使用したクラッキングのサポート
・特定の列の検索 :資格情報を含むテーブルを識別
・帯域外ステートフルTCP接続の確立をサポート :「コマンドプロンプト」「Meterpreter」「VNC」
・Meterpreterコマンドによるデータベースプロセスのユーザー権限昇格のサポート
オフィシャルサイト
→github.com →sqlmapproject/sqlmap
関連セミナー紹介『次世代型セキュリティテスト:Synack』
セミナータイトル
従来のセキュリティテストで網羅できない攻撃を洗い出す
〜米国政府も採用した、次世代型セキュリティテスト「Synack」の紹介〜
開催日
2022/09/14(水)
セミナー資料
資料タイトル
クラウドソースセキュリティプラットフォーム
Synack
資料ページ数
9ページ
資料イメージ
資料アジェンダ
■Synack 会社概要
■”Hack the Pentagon”をご存知ですか? – 報奨金制度と戦術の転換 –
・クラウドソースセキュリティ: 集団力(ヒューマンインテリジェンス)の活用
■Synack プラットフォーム
・安全と信頼を支える仕組み︓参加者の採用プロセス
・ランサムウェア対策
・Synackが選ばれる理由
「セミナー資料ダウンロード」はこちらから(無料)
最後に
今後も毎日のように、多くのIT関連セミナーが開催されます。
ご自分のビジネスを強化できるセミナーを見つけて、ぜひ参加してみてください!
関連ページ
「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~
→マジセミドライブ →「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~
【ツール紹介】無料オープンソース「 バグバウンティ ハンター向けツール 」まとめ3選
参考サイト
→esecurityplanet.com →「10 Top Open Source Penetration Testing Tools」
→hackr.io →「Top 10 Open Source Security Testing Tools for Web Applications」
→cigniti.com →「10 Open Source Security Testing Tools to Test Your Website」
この記事のタグ一覧
フリーワード検索
カテゴリー一覧
アクセスランキング
- 🏆ランク1位🏆
【OSS情報】ディスクイメージング(クローニング)ツール「 Clonezilla 」 - 🏆ランク2位🏆
【無料で使える】「 プロジェクト管理 」ツールまとめ - 🏆ランク3位🏆
【無料で使える】「 OCR 」ツールまとめ - 🏆ランク4位🏆
【AIツール実験室】楽曲作成ツール「 Suno AI 」〜AI生成ミュージックフェス〜 - 🏆ランク5位🏆
【OSS情報】クラウドネイティブ分散SQLデータベース「 CockroachDB 」 - 🏆ランク6位🏆
【無料で使える】「 翻訳 」ツールまとめ - 🏆ランク7位🏆
【無料で使える】「 ドキュメント管理 」ツールまとめ - 🏆ランク8位🏆
【ツール紹介】無料オープンソース「 ビデオ監視 ツール 」まとめ3選 - 🏆ランク9位🏆
【無料で使える】「 ファイアウォール 」ソフトウェアまとめ - 🏆ランク10位🏆
【OSS情報】プライバシー保護ポータブルLinuxOS「 Tails 」
おすすめの記事
トレンド解説
2024.04.15
【トレンド解説】超入門「 スマートファクトリー 」🏭
「 スマートファクトリー 」への理解を深めるための解説として、初心者向けにわかりやすくまとめた記事です。「新しい工場の概念」「デジタルツインの活用」「IoT技術による最適化」など、現代の製造業に必要な知識を効果的に学べます。 スマートファクトリー の導入によるメリットを具体的に解説しています。