Kali Linux 2021.1でShcheckを使用しWebサイトのセキュリティヘッダーをチェックする
スポンサーリンク
Kali Linux 2021.1でShcheckを使用しWebサイトのセキュリティヘッダーをチェックしてみます。
Shcheckは、Python言語で作られたWebサイトのセキュリティヘッダーをチェックすることができるツールです。
セキュリティヘッダーとは、Webブラウザでのセキュリティ対策を設定するためにWebサイトで使用されるソースコードに記述される要素です。
なお、サイバーセキュリティ対策や情報セキュリティ教育が目的でツールを利用しますので、悪用・違法行為が目的はございません。ツールを利用することで発生したトラブルや損失、損害(ウイルス感染など)に対して、一切責任を負いません。
■PC環境
Windows 10 Pro
VirtualBox6.1
Kali Linux 2021.1(Debian (64-bit))
■Kali Linuxを起動する
クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。
クリックすると、Kali Linuxにログインすることができました。
ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。
$sudo su
起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。
■Shcheckのインストール
#pip3 install Shcheck
切り替えた後に、上記のコマンドを入力し、Enterキーを押します。pipを経由し、Shcheckをインストールします。
Collecting shcheck Downloading shcheck-1.5.0-py3-none-any.whl (18 kB) Installing collected packages: shcheck Successfully installed shcheck-1.5.0
Enterキーを押すと、インストールが開始され、「Successfully installed」と表示されます。これが表示されれば、正常にインストールは完了となります。今回Shcheckのバージョン1.5.0を使用します。
■Shcheckのインストール確認
#shcheck.py -h
完了後、上記のコマンドを入力し、Enterキーを押します。インストール確認のためにヘルプを表示してみます。
Enterキーを押すと、ヘルプが表示されました。これでインストールの確認は完了となります。
■Webサイトのセキュリティヘッダーを確認する
#shcheck.py https://xxx.com <対象となるWebサイトのURL>
インストールの確認後、Shcheckを使用し、Webサイトのセキュリティヘッダーを確認してみますので、上記のコマンドを入力し、Enterキーを押します。今回はセキュリティ教育のために、当サイト(https://laboratory.kazuuu.net/)を指定します。
Enterキーを押すと、Webサイトのセキュリティヘッダーのチェックが開始されます。開始後、レポートが出力されます。
出力されたレポートの下記には、下のような記載があります。
There are 0 security headers(0件のセキュリティヘッダーがあります) There are not 12 security headers(12個のセキュリティヘッダがありません)
今回Webサイトは、セキュリティヘッダーが存在しませんでした。またレポート内の「Missing security header:(セキュリティヘッダの欠落)」という表記からもセキュリティヘッダーが存在しないことが確認できました。
確認後、セキュリティヘッダーが存在しませんでしたので、セキュリティ対策を考慮し、WebサイトにHTTPSセキュリティ・ヘッダーを追加することを検討したいと考えています。今回のShcheckを使ってよかったと思いました。