人気記事

広告

記事検索

MOVION.netについて

WEB技術に関することや、気になるWEBサイトなどについて個人的なメモを残すためのブログです。

その他運営サイト

かかわっているサイト

脆弱性チェックツールWapiti on Ubuntu

wapiti(ワピチ=オオジカ?)

コマンドラインから実行する、Webアプリケーション脆弱性スキャナ、セキュリティ監査ツールです。

実行は基本ローカルに対して行いましょう。
入力フォームがあると当然勝手にいろいろ入力しまくってくれますので、
テスト環境、テスト設定、テストデータで行いましょう。

チェックしてくれるのは
・XSS
・CSRF
・コマンド実行検出
・SQLインジェクション
…etc
らしいです。
ものによっては環境やオプションを設定しないと検出されない気がしますが・・・。

ま、お試しチェックってことで。

  1. sudo -s
  2. apt-get install wapiti

Ubuntuでapt使ったらそれだけです。
で、インストールすると、

/usr/bin/wapiti
※Wapiti-1.1.6

というpythonのファイルが出来てるので試しに実行。
デフォルトでは実行ログ(チェックしているURL)が出ないので、
vオプションで途中結果を表示した方がなんか安心です。

  1. wapiti http://127.0.0.1/ -v 2

あとはgetcookie.pyでクッキーファイルを作ってログインが必要なページチェックも出来ます。

  1. /usr/lib/python2.5/site-packages/getcookie.py cookie.txt http://127.0.0.1/login/
  2. wapiti http://127.0.0.1/ -v 2 -c cookie.txt

以上

add to hatena hatena.comment add to del.icio.us add to livedoor.clip add to Yahoo!Bookmark

Comments

  1. Commented by hide — 2008/12/27 土曜日 @ 18:43:59

    こんなのあるんですね。使ってみようかな。

Comment Feed Comment feed for this entry

Trackback URI :

コメントをどうぞ

段落や改行は自動挿入です。メールアドレスはサイト上では非表示です。