SE・プログラマが知ってると便利な脆弱性チェックツール 5 つ

SE・プログラマが知ってると便利な脆弱性チェックツール 5 つ

東京ラーメンショー2011 いきてーーー!みなさんこんにちは、nakamura です。

今日はプログラマだったりサーバ管理者だったり(もしくはその両方だったり)する方にお勧めしたいサイトとツールをいくつかご紹介します。細かい脆弱性のチェック等どうしても手間が掛かるものが多いですが、今回ご紹介するツールをうまく使うとその辺りだいぶ効率よくできると思いますよ!

WEB アプリケーション関連

XSS Me

XSS のテストをある程度自動化してくれる Firefox のアドオンです。残念ながら Firefox3.0.* 系の頃に開発が止まってしまっているようですが、僕の環境では install.rdf の書き換えで問題なく動作しています。(Windows7 64bit + Firefox7.0.1)

SQL Inject Me

XSS Me と同じ開発元が提供している SQL インジェクションテストの自動化アドオンです。こちらも同様に install.rdf を書き換えてインストールできました。

Hack Bar

こちらは今でも開発が続いている、XSS、SQL インジェクションテスト用の Firefox アドオンです。開発が続いているのは嬉しいのですが、パラメータを全て自分で設定しないといけないのが、ちょっと難点かな・・・。リクエストの内容を柔軟に設定できるという点では優れているかもしれません。

サーバ関連

nmap

いわゆるポートスキャナですね。一応 Windows とか Mac でもパッケージがあるらしいですが、Linux 上でコマンドラインで実行した時の例がこちら。

$ nmap example.com

Starting Nmap 5.51 ( http://nmap.org ) at 2011-11-02 15:38 JST
Nmap scan report for example.com (192.168.0.12)
Host is up (0.00078s latency).
Not shown: 991 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
139/tcp   open  netbios-ssn
443/tcp   open  https
444/tcp   open  snpp
873/tcp   open  rsync
3306/tcp  open  mysql
3690/tcp  open  svn
50001/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 0.16 seconds

不要なポートが開いていないか、一目瞭然ですね~。

RBL.JP

メールサーバの脆弱性チェックをしてくれます。インターネット上にメールサーバを公開する際、もっとも気を使うのがスパムの踏み台にならないかどうかですが、こちらのサイトでは様々なパターンで第三者中継ができないかどうかをチェックしてくれます。これほんとに助かります。

終わりに

とっても便利なこれらのツールですが、その用途はあくまで自分で作成したサイトやサーバをチェックする為のものです。人様のサイト・サーバには絶対に使わないでくださいね!

現在、シーブレインではラーメン大好きなプログラマを募集しています!切実!

※2011/11/07 追記

タイトルが間違っていたので修正しました。わしゃあアホや・・・。

『SE・プログラマが知ってると便利な脆弱性チェックツール 4 つ』

『SE・プログラマが知ってると便利な脆弱性チェックツール 5 つ』

  • このエントリーをはてなブックマークに追加

この記事を読んだ人にオススメ