Hello there, ('ω')ノ
このところ、目の調子がおもわしくなく。
目を酷使して作業をしていたのが悔やまれたりと。
スキャンツールの性格を把握するためにPeruggiaを使って診断することに。
まずは、Burp Suiteから。
scopeを設定して。
設定した範囲のみを表示させるために下記にチェックを入れて。
Show only in-scope items
とりあえず、admin/adminでログインしてユーザを作成したり。
パスワードを変更したり。
画像やコメントを追加したり削除したり。
画像出ないものをアップデートしたり。
他ユーザで別ユーザのコメントを削除したりと。
そして、自動でスキャンされた結果は下記のとおりで。
スパイダーを起動しても脆弱性の内容は変わらず。
とりあえず、パッシブスキャンも。
なんだか少しだけ脆弱性が増えたようで。
最後にアクティブスキャンを。
結果の画像を保存し忘れてしまい。
とりあえずは、結果をレポート作成していたのでよかった。
次にOWASP ZAPをつかって同じようにPeruggiaの機能を操作しながら巡回させて。
得られたパッシブスキャンの結果は以下のとおりで。
次にスパイダーを起動させてみて。
最後にアクティブスキャンを。
結果をレポート出力して。
2つのレポートを比較したいものの目が疲れてしまって。
まだまだツールの使い方を熟知していないので誤った箇所もあるかもしれませんが。
一応、ここまではそれほど時間がかかるわけでもなく。
ただ、誤検知というものがあって、検出された結果を再現して確認する必要もあって。
これが非常に時間がかかったり面倒だったりと。
この作業が簡単にできるようにならないと時間がかかってしまって。
まだまだ課題は山積み。
Best reagards, (^^ゞ