Kali Linux 2021.1でShcheckを使用しWebサイトのセキュリティヘッダーをチェックする

KaliLinux サイバーセキュリティ セキュリティ/脆弱性 倫理的ハッカー 倫理的ハッキング

スポンサーリンク

Kali Linux 2021.1でShcheckを使用しWebサイトのセキュリティヘッダーをチェックしてみます。

Shcheckは、Python言語で作られたWebサイトのセキュリティヘッダーをチェックすることができるツールです。

セキュリティヘッダーとは、Webブラウザでのセキュリティ対策を設定するためにWebサイトで使用されるソースコードに記述される要素です。

なお、サイバーセキュリティ対策や情報セキュリティ教育が目的でツールを利用しますので、悪用・違法行為が目的はございません。ツールを利用することで発生したトラブルや損失、損害(ウイルス感染など)に対して、一切責任を負いません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1(Debian (64-bit))

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。

■Shcheckのインストール

#pip3 install Shcheck

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。pipを経由し、Shcheckをインストールします。

Collecting shcheck
Downloading shcheck-1.5.0-py3-none-any.whl (18 kB)
Installing collected packages: shcheck
Successfully installed shcheck-1.5.0

Enterキーを押すと、インストールが開始され、「Successfully installed」と表示されます。これが表示されれば、正常にインストールは完了となります。今回Shcheckのバージョン1.5.0を使用します。

■Shcheckのインストール確認

#shcheck.py -h

完了後、上記のコマンドを入力し、Enterキーを押します。インストール確認のためにヘルプを表示してみます。

Enterキーを押すと、ヘルプが表示されました。これでインストールの確認は完了となります。

■Webサイトのセキュリティヘッダーを確認する

#shcheck.py https://xxx.com <対象となるWebサイトのURL>

インストールの確認後、Shcheckを使用し、Webサイトのセキュリティヘッダーを確認してみますので、上記のコマンドを入力し、Enterキーを押します。今回はセキュリティ教育のために、当サイト(https://laboratory.kazuuu.net/)を指定します。

Enterキーを押すと、Webサイトのセキュリティヘッダーのチェックが開始されます。開始後、レポートが出力されます。

出力されたレポートの下記には、下のような記載があります。

There are 0 security headers(0件のセキュリティヘッダーがあります)
There are not 12 security headers(12個のセキュリティヘッダがありません)

今回Webサイトは、セキュリティヘッダーが存在しませんでした。またレポート内の「Missing security header:(セキュリティヘッダの欠落)」という表記からもセキュリティヘッダーが存在しないことが確認できました。

確認後、セキュリティヘッダーが存在しませんでしたので、セキュリティ対策を考慮し、WebサイトにHTTPSセキュリティ・ヘッダーを追加することを検討したいと考えています。今回のShcheckを使ってよかったと思いました。