Kali Linux 2021.1でWebアプリケーションの様々な脆弱性を特定できる「SkipFish」を使用する

Kali Linux 2021.1でWebアプリケーションの様々な脆弱性を特定できる「SkipFish」を使用してみます。

SkipFishは、Googleの情報セキュリティエンジニアリングチーム(Michal Zalewski、Niels Heinen、Sebastian Roschke)が開発したWebアプリケーションの様々な脆弱性を特定できるスキャナーツールです。

なお、SkipFishは、KaliLinuxにプリインストール(標準でインストール)されています。

今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1(Debian (64-bit))

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。

■SkipFishのインストール確認

#skipfish -h

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。インストールされているか確認するために、ヘルプを表示してみます。

skipfish web application scanner – version 2.10b

Enterキーを押すと、上記のようなメッセージが表示されます。これが表示されれば、インストールは完了しています。今回はskipfishのバージョン2.10bを使用します。

■スキャンを開始する

#skipfish -o test http://test.xxx(スキャンしたいWebサイト,アプリケーション)

完了後、Webアプリケーションの様々な脆弱性を特定するために、スキャンを行います。スキャンを行う場合は、上記のコマンドを入力し、Enterキーを押します。-oというコマンドを使用し出力ディレクトリ「test」を指定しました。SkipFishは、使用したコマンドに従ってtestというフォルダを生成します。

フォルダ内にはスキャンした結果のレポートが保存されます。なお、htmlファイルなので、Webブラウザで開く必要があります。

Enterキーを押すと、スキャンが開始され、しばらくすると完了となります。

最後にスキャンを行う場合は、必ずWebサイト,アプリケーションの運営者に許可を得てから、スキャンを行うことを推奨いたします。

コメント

タイトルとURLをコピーしました