Shikata Ga Nai

Private? There is no such things.

一般的なWebアプリのテストツールについて列挙してみた

Hello there, ('ω')ノ

 

Webアプリケーションのセキュリティテストをするツールはたくさんあって。

下記はその中でも効率よく実行できて、Kali Linuxに含まれているもので。

各種テストに必要なツールの組み合わせについては以下のとおりで。

 

 情報収集

 ┗ Nikto、Web開発者プラグイン、Wappalyzer

 

 認証

 ┗ OWASP ZAP、Burp Suite

 

 認可

 ┗ OWASP ZAP、Burp Suite

 

 セッション管理

 ┗ Burp Suite Web開発者プラグイン、OWASP CSRFTester、WebScarab

 

 入力の検証

 ┗ XSSMe、SQLMe、Paros、IBM AppScan、SQLMap、Burp Suite

 

 設定ミス

 ┗ Nikto

 

 ビジネスロジック

 ┗ OWASP ZAPまたはBurp Suiteを使用した手動テスト

 

 監査とロギング

 ┗ 手動評価

 

 ウェブサービス

 ┗ WSDigger、IBM AppScan web service scanner

 

 暗号化

 ┗ Hash identifier, weak cipher tester

 

Best regards, (^^ゞ