top


総投稿数 本 
no_

スポンサーサイト

 --------
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
カテゴリ :スポンサー広告 トラックバック(-) コメント(-)
no_1319

Skipfish:Googleが公開した、Webアプリ向けの高速な脆弱性スキャナ「Skipfish」。怖いけど、試す ・・・ 【Google】

 2010-04-13
 また、Googleだ。
 ・サイト構築のために
  情報収集してて、たどり着いたのは、

Google、Webアプリ向けの高速な脆弱性スキャナ「Skipfish」を公開
 ( by ITmediaエンタープライズ )
Google、Webアプリ向けの高速な脆弱性スキャナ「Skipfish」を公開※引用転載
 ・Googleは3月19日、
  Webアプリケーション向けの
  セキュリティ脆弱性スキャナ
  「Skipfish」を公開した。
 ・誤検知を抑えた高度な
  セキュリティチェックを導入、
 ・とらえにくいセキュリティホールを検出できる

 ・・・おぉぉぉ



 コマンドラインで利用するツール・・・
 ということで、少々怖い気もするけど、
 試さずにはいられない。

  追記に  ▼


FC2ブログランキング にほんブログ村 IT技術ブログ Webサイト構築へ ブログ王ランキング 人気ブログランキング 人気ホームページランキングへ


more

************************************************
◎  Skipfish:コマンドライン脆弱性スキャナ 試す の巻
                 :Googleツール

************************************************


 ※コマンドラインで利用するツール
  なので、(少々怖くて)
  開発テスト用に用意したサーバー で実施。

  ・Linux技術者でも無いのに、大丈夫?


 ■Google code

skipfish - Project Hosting on Google Code
skipfish - Project Hosting on Google Code Apache License 2.0だ。
 (日本語訳:Apache License 2.0




 

 ■ダウンロード>解凍
  とにかく、README 読んでみる。
  218行目:4. How to run the scanner? で、
To compile it, simply unpack the archive
and try make. Chances are, you will
need to install libidn first.

  最初に、「libidn」を入れろ・・・と。

  「libidn」て何じゃろ?


   ▼
 ・シリコンバレー 24時: GNU IDN Library - Libidn
  こちらに丁寧な解説がありました。
 IETFの 「国際化ドメイン名
 (IDN: Internationalized Domain Names )
 ワークグループ」 によって定義されている
 Stringprep, Punycode そして
 IDNA規格 を実現した Cライブラリ
 ・・・ふむふむ。
   ・GNU IDN Library - Libidn
   ・GNU Libidn

   「IETF」て何じゃろ?


   ▼
  ・IETFって何?
  JPNIC のサイトで・・・
 インターネット技術の国際標準を
 議論策定しているIETFは、
 ・コンピュータサイエンス の技術者達が、
  自身の実験網を構築運用するために
  共通の技術仕様を 策定および共有するために
  草の根的な議論を行うグループから
  発展したもの
 ・・・そうでしたか。
    ・なぜIETFが必要だったか

   「Stringprep」て何じゃろ?


   ▼
  ・STRINGPREP(ストリングプレップ)
  IT辞典 では・・・
 入力された文字列をある規則にしたがって
 標準の文字列に変換し、その変換された文字列を
 以後の処理で使う必要があり、
 ・変換するための枠組みを規定したものが
  「STRINGPREP
 ・RFC 3454
 (Preparation of Internationalized Strings
  "stringprep")として標準化
 ・・・知っておかねば。
    ・国際化文字列の前処理("stringprep")

   「Punycode」て何じゃろ?


   ▼
  ・STRINGPREP(ストリングプレップ)
  Wikipedia では・・・
 国際化ドメイン名で使われる文字符号化方式で、
 ・RFC 3492で定義されている。
 ・Unicodeで書かれた文字列を
  DNS内の制限された文字コード空間でも
  使えるようにするための方式
 ・ユーザーエージェントの実装に依存
 ・・・なるほど。
    ・RFC 3492

  知識行脚はこのくらいにして・・・


 

 ■libidn のインストール
  ・GNU Libidn のインストール
   ※こちら、まだ記事ないんですけど・・・
    検索してトップなんで、("libidn インストール"
    チャンス?ですよぉ・・・・
    ともかく。
# yum install libidn libidn-devel
・・・・・
Running Transaction
Installing : libidn-devel [1/1]

Installed: libidn-devel.i386 0:0.6.5-1.1
Complete!
 入ったようです。

 

 ■dictionaries
  ※ READMEファイルでは、次に、
Next, you need to copy
the desired dictionary file
from dictionaries/ to skipfish.wl.
Please read dictionaries/README-FIRST
carefully to make the right choice.
This step has a profound impact
on the quality of scan results later on.

  ・dictionaries/ というフォルダから、
   どれかを選択して、skipfish.wl として
   コピーしろ、と。
  ・そのためには、dictionaries/README-FIRST
   をよく読んで、正しい選択を慎重に行え!?
  ・この選択が、スキャン結果の品質に
   大きく影響する。(だいだい意訳)

  ん~ん。また英文かぁ。


 

 ■dictionaries/README-FIRST
  しばし、英文格闘(ほんとだよ)
  ・・・・・
  ※でも不安なので,選んだのは
   default.wl だったりして。

 

 ■インストール
  ダウンロードして、README読んだけど
  実際のインストールは、サイト上で、
# wget "http://skipfish.googlecode.com/files/skipfish-1.30b.tgz"

 ・解凍して、
# tar zxvf skipfish-1.30b.tgz
# cd skipfish
# make
cc -L/usr/local/lib/ -L/opt/local/lib skipfish.c -o skipfish -O3 -Wno-format -Wall -funsigned-char -g -ggdb -I/usr/local/include/ -I/opt/local/include/ -D_FORTIFY_SOURCE=0 \http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz
analysis.c: In function ‘get_date’:
analysis.c:1371: warning: format ‘%02llu’ expects type ‘long long unsigned int *’, but argument 3 has type ‘s64 *’
analysis.c:1371: warning: format ‘%02llu’ expects type ‘long long unsigned int *’, but argument 4 has type ‘s64 *’
analysis.c:1371: warning: format ‘%02llu’ expects type ‘long long unsigned int *’, but argument 5 has type ‘s64 *’

See dictionaries/README-FIRST to pick a dictionary for the tool.

Having problems with your scans? Be sure to visit:
http://code.google.com/p/skipfish/wiki/KnownIssues
 フォルダに入り、makeするだけだ。
 何やら警告は出てますが、入っているようですね。

 

 ■それでは、上記 wlファイルを・・・
# cd dictionaries
# cp default.wl skipfish.wl

 いざ!


 ■実行。
# cd dictionaries
# cp default.wl skipfish.wl
 お客さんのサイトが動いていない
 開発用サーバーだけど・・・(少々不安)。

 

  □出力用のフォルダ用意して、
# mkdir /var/www/html/log/skipfish
./skipfish -o /var/www/html/log/skipfish -W dictionaries/default.wl http://www.*****/
 実行!
   -W で指定できるんだね。
   ▼
   ・・・・・(結構、時間かかる)
   アップロード・・・簡単
    ※SSHウインドウ、こんな感じで動かず。

   ・・・・・
   1時間待ちましたが、終わらないので
   途中中断。
   一応ファイルはできています。


   ところが!
   できあがった index.html見ると、ちょうど
   body から、テーブルの項目行を生成している所で、
   切れてしまって・・・


   よっしゃ。もう一回やったる。
   ・・・・・(時間かかる、かかる)


   今度は終わるまで待つぞ。
   (結果は明日)


 【こちらの情報 非常に参考になります】
  ・Skipfishで定義されているWebアプリに対するテスト一覧
  ・[skipfish] 使ってみました。
  ありがとうございました!


  結果、明日、ね。
  さ、仕事仕事。

commentsコメント
comment_post












管理者にだけ表示を許可する
commentトラックバック
トラックバックURL:
http://metaboy.blog23.fc2.com/tb.php/1319-7b105e7a
ようこそ
Add to Google 創るmetaboy:RSSフィード
My Yahoo!に追加
最新記事のRSS | 問い合わせ

仕事検索、アルバイト検索、依頼仕事の検索ポータル - 仕事検索.COM - www.jobkensaku.com ツクルン

創るmetaboy - WEB創る、サイト創る、何創る - 創ったmetaboy

 

リンク集

 

最近の記事

 

ブロとも申請フォーム
Sponserd by

さくらのレンタルサーバ さくらのレンタルサーバ
大容量・高機能レンタルサーバー heteml 大容量・高機能レンタルサーバー heteml
XREA (ValueDomain)
お名前.com お名前.com
名づけてねっと名づけてねっと
ムームードメインムームードメイン

 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。