Posted on

システムの脆弱性検知ツールを調査してみる

セキュリティの調査で3つ脆弱性検知ツールを入れてみたのですが、結果的には次のようになりました。

-skipfish
Linuxでしか動作しなく導入に手間が掛かる。
導入後、実行してみるが時間が掛かりすぎる。CakePHPを抱え込んで検知したら半日経っても終らない。
素のPHPで小さいシステムを検査してみるが脆弱性が発見できない。

-IPAが出しているiLogScanner
導入作業自体が無くIPAが用意しているサイトにサーバーのアクセスログファイルをUPして調査する。
サーバーのログを上げる作業なので、このプロジェクトの脆弱性を見たいという時は、ログファイルの吐き出し方を切り替えるという作業が必要になってくる。
脆弱性を発見したと検知されるのに、何処のファイルかという情報が無く脆弱性の特定が出来ない。

-Paros
windowsにインストールできて、そのパソコンからブラウザのプロキシを強引に変えて見たいシステムのURLを叩いて操作したログを後で検査するという仕組みです。
素のPHPで書いた小さいシステムを検査すると、何処のファイルに脆弱性があるときちんと出してくれます。
但しCakePHPなどのフレームワークを検査してみると、MVCが分かれているせいでXSSやSQLインジェクションを上手く検地してくれない。

ということでParosがまだ一番使えるかなという感じなのですが、当初の目的のCakePHPを使ってるサイトの脆弱性を検査するという部分が出来ないので、引き続きツールを探して行きたいと思います。
何か良い脆弱性検地ツールは無いんですかね・・・