Kali Linux 2021.1でWhatwebを使用しWebアプリケーションのセキュリティの脆弱性を発見する

Kali Linux 2021.1でWhatwebを使用しWebアプリケーションのセキュリティの脆弱性を発見する。

Whatwebは、Webサイトに関するあらゆる種類(プラットホーム,CMSプラットフォーム,IPアドレス,国,Webサーバーなど)の情報を識別することができるツールです。また電子メールアドレス、アカウントID、ウェブフレームワークモジュール、SQLエラーなども特定することができます。

なお、Whatwebは、KaliLinuxにプリインストール(標準でインストール)されています。

今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1(Debian (64-bit))

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。

■Whatwebのインストール確認

#whatweb -h

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。インストールされているか確認するために、ヘルプを表示してみます。

WhatWeb – Next generation web scanner version 0.5.5.

Developed by Andrew Horton (urbanadventurer) and Brendan Coles (bcoles).

Homepage: https://www.morningstarsecurity.com/research/whatweb

Enterキーを押すと、上記のようなヘルプが出力されます。ヘルプが表示されましたので、インストールの確認は完了です。今回はWhatWebのバージョン0.5.5.を使用します。

■Webサイトの簡単な情報を出力する

完了後、まずは、Webサイト,Webアプリケーションの簡単な情報(どのようなテクノロジーが使われているか)を出力してみます。

#whatweb www.example.com(情報を出力したドメイン)

出力する際は、上記のコマンドを入力し、Enterキーを押します。今回は当サイト(https://laboratory.kazuuu.net/)を指定してみます。

Enterキーを押すと、WebサイトのIPアドレス,PHPやJQueryのバージョンやWebサイトのタイトルなどの情報が出力されました。

■より詳細な情報を出力する

では次に、、Webサイト,Webアプリケーションのより詳細な情報を出力してみます。

#whatweb -v www.example.com(情報を出力したドメイン)

出力する際は上記のコマンドを入力し、Enterキーを押します。今回も当サイト(https://laboratory.kazuuu.net/)を指定してみます。

Enterキーを押すと、指定したWebサイトのより詳細な情報が出力されました。

■IPアドレスを調査する

#whatweb -v XXX.000.0.0/24(情報を出力したドメイン)

Whatwebを使用すると、Webサイト,Webアプリケーションだけでなく、IPアドレスも調べることができます。調べる際は上記のコマンドを入力し、Enterキーを押します。

コメント

タイトルとURLをコピーしました