【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選として、
以下の概要を紹介しています。

1⃣オープンソース侵入テストツール「OWASP ZAP」
2⃣Web脆弱性スキャナー「Wapiti」
3⃣データベースサーバ向け侵入テストツール「sqlmap」

※「次世代型セキュリティテスト：Synack」に関するセミナー資料(9ページ)を無料で参照できます。

【無料オープンソース】「 ペネトレーションテスト 」ツールまとめ3選

1⃣オープンソース侵入テストツール「OWASP ZAP」

概要

「OWASP ZAP」(Open Web Application Security Project – Zed Attack Proxy)は、

OWASPの傘下で維持されている無料のオープンソース侵入テストツールです。

特に、Webアプリケーションテスト用に設計されており、柔軟性と拡張性を兼ね備えています。

「主要OS」および「Docker」ごとにバージョンがリリースされています。

ユースケース

・Webアプリケーションのセキュリティ脆弱性を自動的に検出
・経験豊富なペンテスターが手動セキュリティテストに使用

特徴

■中間者プロキシ
・「テスト用ブラウザ」と「Webアプリケーション」の間に中間者として立つ
・「テスト用ブラウザ」と「Webアプリケーション」の間で送信されるメッセージを傍受して検査
・必要に応じて内容を変更
・それらのパケットを宛先に転送
・「スタンドアロンアプリ」および「デーモンプロセス」として動作

■豊富な機能
・さまざまなスキルレベルに対応する機能を提供
・「開発者」「セキュリティテストに不慣れなテスター」「セキュリティテストのスペシャリスト」

■ZAP Marketplace
・さまざまなアドオンから自由に入手
・ZAPクライアント内からアクセス可能

オフィシャルサイト

→github.com　→zaproxy/zaproxy

→zaproxy.org

2⃣Web脆弱性スキャナー「Wapiti」

概要

「Wapiti」は、Pythonで書かれた「Web脆弱性スキャナー」です。

「Webサイト」または「Webアプリケーション」のセキュリティ監査を実施できます。

正しく動作させるために「Python 3.x」を必要とします。

特徴

■「ブラックボックス」脆弱性スキャナー
・Webアプリケーションのソースコードを調査しない
・ファザーのように機能
・デプロイされたWebアプリのページをスキャンしてクロール
・データを挿入できる「スクリプト」「フォーム」を探す
・リンクとフォームを抽出してスクリプトを攻撃
・ペイロードを送信し「エラーメッセージ」「特殊な文字列」「異常な動作」を探索

■主な機能
・脆弱性レポート生成　：「HTML」「XML」「JSON」「TXT」「CSV」
・一時停止および再開　：sqlite3データベースを使用したセッションメカニズム
・さまざまなレベルの冗長性
・各攻撃モジュールを簡単にアクティブ化(非アクティブ化)
・ペイロード追加　：テキストファイルに行を追加するのと同じくらい簡単
・HTTP要求を実行するための同時タスク数設定

オフィシャルサイト

→github.com　→wapiti-scanner/wapiti

→wapiti-scanner.github.io

3⃣データベースサーバ向け侵入テストツール「sqlmap」

概要

「sqlmap」は、「自動SQLインジェクション」および「データベーステイクオーバー」ツールです。

侵入テストツールとして、SQLインジェクション欠陥を検出して、データベースサーバを乗っ取るプロセスを自動化します。

特徴

・多くのデータベースに対応
・6つの「SQLインジェクション手法」を完全にサポート
・SQLインジェクションを経由せずにデータベースへの直接接続をサポート
・データベース情報取得　：「データベーステーブル全体」「エントリの範囲」「特定の列」などのダンプ
・パスワードハッシュ形式の自動認識機能
・辞書ベースの攻撃を使用したクラッキングのサポート
・特定の列の検索　：資格情報を含むテーブルを識別
・帯域外ステートフルTCP接続の確立をサポート　：「コマンドプロンプト」「Meterpreter」「VNC」
・Meterpreterコマンドによるデータベースプロセスのユーザー権限昇格のサポート

オフィシャルサイト

→github.com　→sqlmapproject/sqlmap

→sqlmap.org

関連セミナー紹介『次世代型セキュリティテスト：Synack』

セミナータイトル

従来のセキュリティテストで網羅できない攻撃を洗い出す
〜米国政府も採用した、次世代型セキュリティテスト「Synack」の紹介〜

開催日

2022/09/14(水)

セミナー資料

資料タイトル

クラウドソースセキュリティプラットフォーム
Synack

資料ページ数

9ページ

資料イメージ

資料アジェンダ

■Synack 会社概要

■”Hack the Pentagon”をご存知ですか？ – 報奨金制度と戦術の転換 –
・クラウドソースセキュリティ: 集団力(ヒューマンインテリジェンス)の活用

■Synack プラットフォーム
・安全と信頼を支える仕組み︓参加者の採用プロセス
・ランサムウェア対策
・Synackが選ばれる理由

「セミナー資料ダウンロード」はこちらから(無料)

最後に

今後も毎日のように、多くのIT関連セミナーが開催されます。
ご自分のビジネスを強化できるセミナーを見つけて、ぜひ参加してみてください！

→マジセミTOPページ

関連ページ

「 バグバウンティ 」まとめ　～アプリセキュリティテスト強化手法～

→マジセミドライブ　→「 バグバウンティ 」まとめ　～アプリセキュリティテスト強化手法～

【ツール紹介】無料オープンソース「 バグバウンティ ハンター向けツール 」まとめ3選

→マジセミドライブ　→【ツール紹介】無料オープンソース「 バグバウンティ ハンター向けツール 」まとめ3選