Kali Linux 2021.1でWhatwebを使用しWebアプリケーションのセキュリティの脆弱性を発見する
スポンサーリンク
Kali Linux 2021.1でWhatwebを使用しWebアプリケーションのセキュリティの脆弱性を発見する。
Whatwebは、Webサイトに関するあらゆる種類(プラットホーム,CMSプラットフォーム,IPアドレス,国,Webサーバーなど)の情報を識別することができるツールです。また電子メールアドレス、アカウントID、ウェブフレームワークモジュール、SQLエラーなども特定することができます。
なお、Whatwebは、KaliLinuxにプリインストール(標準でインストール)されています。
今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。
■PC環境
Windows 10 Pro
VirtualBox6.1
Kali Linux 2021.1(Debian (64-bit))
■Kali Linuxを起動する
クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。
クリックすると、Kali Linuxにログインすることができました。
ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。
$sudo su
起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。
■Whatwebのインストール確認
#whatweb -h
切り替えた後に、上記のコマンドを入力し、Enterキーを押します。インストールされているか確認するために、ヘルプを表示してみます。
WhatWeb - Next generation web scanner version 0.5.5. Developed by Andrew Horton (urbanadventurer) and Brendan Coles (bcoles). Homepage: https://www.morningstarsecurity.com/research/whatweb
Enterキーを押すと、上記のようなヘルプが出力されます。ヘルプが表示されましたので、インストールの確認は完了です。今回はWhatWebのバージョン0.5.5.を使用します。
■Webサイトの簡単な情報を出力する
完了後、まずは、Webサイト,Webアプリケーションの簡単な情報(どのようなテクノロジーが使われているか)を出力してみます。
#whatweb www.example.com(情報を出力したドメイン)
出力する際は、上記のコマンドを入力し、Enterキーを押します。今回は当サイト(https://laboratory.kazuuu.net/)を指定してみます。
Enterキーを押すと、WebサイトのIPアドレス,PHPやJQueryのバージョンやWebサイトのタイトルなどの情報が出力されました。
■より詳細な情報を出力する
では次に、、Webサイト,Webアプリケーションのより詳細な情報を出力してみます。
#whatweb -v www.example.com(情報を出力したドメイン)
出力する際は上記のコマンドを入力し、Enterキーを押します。今回も当サイト(https://laboratory.kazuuu.net/)を指定してみます。
Enterキーを押すと、指定したWebサイトのより詳細な情報が出力されました。
■IPアドレスを調査する
#whatweb -v XXX.000.0.0/24(情報を出力したドメイン)
Whatwebを使用すると、Webサイト,Webアプリケーションだけでなく、IPアドレスも調べることができます。調べる際は上記のコマンドを入力し、Enterキーを押します。