Kali Linux 2021.1でWebアプリケーションの様々な脆弱性を特定できる「SkipFish」を使用する
スポンサーリンク
Kali Linux 2021.1でWebアプリケーションの様々な脆弱性を特定できる「SkipFish」を使用してみます。
SkipFishは、Googleの情報セキュリティエンジニアリングチーム(Michal Zalewski、Niels Heinen、Sebastian Roschke)が開発したWebアプリケーションの様々な脆弱性を特定できるスキャナーツールです。
なお、SkipFishは、KaliLinuxにプリインストール(標準でインストール)されています。
今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。
■PC環境
Windows 10 Pro
VirtualBox6.1
Kali Linux 2021.1(Debian (64-bit))
■Kali Linuxを起動する
クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。
クリックすると、Kali Linuxにログインすることができました。
ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。
$sudo su
起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。
■SkipFishのインストール確認
#skipfish -h
切り替えた後に、上記のコマンドを入力し、Enterキーを押します。インストールされているか確認するために、ヘルプを表示してみます。
skipfish web application scanner - version 2.10b
Enterキーを押すと、上記のようなメッセージが表示されます。これが表示されれば、インストールは完了しています。今回はskipfishのバージョン2.10bを使用します。
■スキャンを開始する
#skipfish -o test http://test.xxx(スキャンしたいWebサイト,アプリケーション)
完了後、Webアプリケーションの様々な脆弱性を特定するために、スキャンを行います。スキャンを行う場合は、上記のコマンドを入力し、Enterキーを押します。-oというコマンドを使用し出力ディレクトリ「test」を指定しました。SkipFishは、使用したコマンドに従ってtestというフォルダを生成します。
フォルダ内にはスキャンした結果のレポートが保存されます。なお、htmlファイルなので、Webブラウザで開く必要があります。
Enterキーを押すと、スキャンが開始され、しばらくすると完了となります。
最後にスキャンを行う場合は、必ずWebサイト,アプリケーションの運営者に許可を得てから、スキャンを行うことを推奨いたします。