日々書いているわけでもないし、宣伝してるわけでもないのに・・・
なんだろうと思ってたら、最近やっと理由が分かった。
「ハッカージャパン1月号」が原因だろう。(勝手に推測)
なんかの特集の後ろにandiparosが1行だけ紹介されてた。
andiparosの公式サイトには、いまだにドキュメントが全くない。
そのためか日本語でなんか書いてるサイトなんかも全然見当たらない。
それで流れ着いた人が見てたんだろうな・・・
大したこと書いてなくてごめんよ~ >流れ着いてしまった人々
-----------------------------------------------------
さて、本題。。。
前回までで起動確認までは行った。
実際に脆弱性診断してみよう。
脆弱性診断ツールは、基本的にはアタックをしかけるので、
くれぐれも人様に迷惑をかけないようにしましょう。
ということで、プライベートネットワークにサーバを立てて、
適当なコンテンツを作った。
http://192.168.3.123/e-test
Parosを使ったことがあれば、基本的な操作は同じ。
andiparosを起動させた状態で、アクセスするとこんな感じ。
実際には、ブラウザのホームページとか「Sites」の欄になんだかんだいっぱい出てくる。
不要なドメインは、右クリックして「Purge」してしまおう。
次に、「サイトを選択」→「Analyse」→「Spider...」をクリックする。
そうすると次の画面が表示されるので、「Start」をクリックして実行する。
終わるとこの画面が消える。
この作業は、脆弱性を診断する前に、どんなリンク先があるのか探索する処理なので必須。
自動的に選択したドメインだけを収集して、外部のリンクは排除される。
そして、いよいよ脆弱性診断を行なう。
「Sites」から選択して、「Analyse」→「Scan」をクリックする。
Scanningの画面が流れるのでしばらく放置。
リンク先が多かったりすると結構時間がかかる。
終わると、アラートがスキャニングにかかった時間(秒)と共に表示される。
今回は6分強かかったようだ。
「OK」をクリックすると、元の画面に戻る。
「Alerts」の項目に見つかった脆弱性が表示される。
赤>オレンジ>黄色>青 の順でレベル分けされている。
詳細については、ツリーを開きダブルクリックすると、右側に表示される。
「Alerts」で出ている項目を右クリックすると、脆弱性と判断した動作を個別に再度行うこともできる。
というのが一連の流れ。
繰り返しになるけど、自分の責任範囲内で行うこと!
