shikata ga nai

Private? There is no such things.

Peruggiaを2つの診断ツールでスキャンしてみた

Hello there, ('ω')ノ

 

このところ、目の調子がおもわしくなく。

目を酷使して作業をしていたのが悔やまれたりと。

 

スキャンツールの性格を把握するためにPeruggiaを使って診断することに。

 

f:id:ThisIsOne:20200803135051p:plain

 

まずは、Burp Suiteから。

scopeを設定して。

 

f:id:ThisIsOne:20200803135318p:plain

 

設定した範囲のみを表示させるために下記にチェックを入れて。

 Show only in-scope items

 

f:id:ThisIsOne:20200803135408p:plain

 

とりあえず、admin/adminでログインしてユーザを作成したり。

パスワードを変更したり。

画像やコメントを追加したり削除したり。

画像出ないものをアップデートしたり。

他ユーザで別ユーザのコメントを削除したりと。

そして、自動でスキャンされた結果は下記のとおりで。

 

f:id:ThisIsOne:20200803140320p:plain

 

スパイダーを起動しても脆弱性の内容は変わらず。

 

f:id:ThisIsOne:20200803141329p:plain

 

とりあえず、パッシブスキャンも。

なんだか少しだけ脆弱性が増えたようで。

 

f:id:ThisIsOne:20200803141508p:plain


最後にアクティブスキャンを。

結果の画像を保存し忘れてしまい。

 

f:id:ThisIsOne:20200803142004p:plain

 

とりあえずは、結果をレポート作成していたのでよかった。

 

f:id:ThisIsOne:20200803160831p:plain

 

次にOWASP ZAPをつかって同じようにPeruggiaの機能を操作しながら巡回させて。

得られたパッシブスキャンの結果は以下のとおりで。

 

f:id:ThisIsOne:20200803155509p:plain

 

次にスパイダーを起動させてみて。

 

f:id:ThisIsOne:20200803155749p:plain

 

最後にアクティブスキャンを。 

 

f:id:ThisIsOne:20200803160511p:plain

 

結果をレポート出力して。

2つのレポートを比較したいものの目が疲れてしまって。

 

f:id:ThisIsOne:20200803160654p:plain

 

まだまだツールの使い方を熟知していないので誤った箇所もあるかもしれませんが。

一応、ここまではそれほど時間がかかるわけでもなく。

ただ、誤検知というものがあって、検出された結果を再現して確認する必要もあって。

これが非常に時間がかかったり面倒だったりと。

この作業が簡単にできるようにならないと時間がかかってしまって。

まだまだ課題は山積み。

 

Best reagards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain