Kali Linux 2021.1でWebアプリケーションの様々な脆弱性を特定できる「SkipFish」を使用してみます。

SkipFishは、Googleの情報セキュリティエンジニアリングチーム（Michal Zalewski、Niels Heinen、Sebastian Roschke）が開発したWebアプリケーションの様々な脆弱性を特定できるスキャナーツールです。

なお、SkipFishは、KaliLinuxにプリインストール（標準でインストール）されています。

今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1（Debian (64-bit)）

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ（root）権限に切り替えます。

■SkipFishのインストール確認

#skipfish -h

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。インストールされているか確認するために、ヘルプを表示してみます。

skipfish web application scanner - version 2.10b

Enterキーを押すと、上記のようなメッセージが表示されます。これが表示されれば、インストールは完了しています。今回はskipfishのバージョン2.10bを使用します。

■スキャンを開始する

#skipfish -o test http://test.xxx（スキャンしたいWebサイト,アプリケーション）

完了後、Webアプリケーションの様々な脆弱性を特定するために、スキャンを行います。スキャンを行う場合は、上記のコマンドを入力し、Enterキーを押します。-oというコマンドを使用し出力ディレクトリ「test」を指定しました。SkipFishは、使用したコマンドに従ってtestというフォルダを生成します。

フォルダ内にはスキャンした結果のレポートが保存されます。なお、htmlファイルなので、Webブラウザで開く必要があります。

Enterキーを押すと、スキャンが開始され、しばらくすると完了となります。

最後にスキャンを行う場合は、必ずWebサイト,アプリケーションの運営者に許可を得てから、スキャンを行うことを推奨いたします。