shikata ga nai

Private? There is no such things.

Burp SuiteでCycloneを診断してみた

Hello there, ('ω')ノ

 

急にOWASP BWAのCycloneが起動できなくなって。

別のPCに環境を構築すると一応は、見れるようになったものの。

原因はブラウザの証明書あたりにありそうで。

 f:id:ThisIsOne:20200818191232p:plain

 

脆弱性診断する際、Webサイトの多くはJavaScriptを使用しているので。

クローラーは、一部のリンクとリソースを見逃す可能性があって。

はじめに手動でクロールすることがおすすめで。

スパイダーの機能を使う前にすべてをクリックしておいたほうがよいかと。

ただ、対象となるサイトの範囲外のリンクをクリックしても意味がなく。

メールを送信するリンクにアクセスしても意味がなくて。

 

f:id:ThisIsOne:20200818191355p:plain

 

たまに静的なPDFファイルにリンクしているように見えるものもあって。

実際には構築されていたりもするので油断しないように。

 

f:id:ThisIsOne:20200818191502p:plain

 

できるだけ多くのフォームを表示させるために誤ったデータを入れたりもして。

 

f:id:ThisIsOne:20200818191632p:plain

 

特に入力エリアのある画面は。

 

f:id:ThisIsOne:20200818191803p:plain

 

ただ、ここで問題が。

どうもアカウント作成がうまくいかず。

今回は、流れだけをウォッチすることなので気にしないことに。

 

f:id:ThisIsOne:20200818192419p:plain

 

手動でクロールした後は、スパイダーはキューをもっているようで。 

スパイダーに再度、ブランチをアクティブにしてクロールさせて。

再度、パッシブスキャンを実行させておいて。

 

f:id:ThisIsOne:20200818192604p:plain

 

最後にアクティブスキャンを。

 

f:id:ThisIsOne:20200818192736p:plain

 

重複するアイテムを削除することにして。

すでにスキャンされたアイテムも削除して。

拡張子をもつアイテムを削除して。

bmpやpdfをテストしたくないなら追加をして。

 

f:id:ThisIsOne:20200818192835p:plain

 

スキャナをしてみると。

不要と思われるURLがたくさん見受けられ。

スパイダーあたりの操作方法に誤りがあるのかもと。

 

f:id:ThisIsOne:20200818192953p:plain

 

スキャン結果は、それほどおもしろくもなく。

Cycloneに不具合があるのかもしれないですが。

他のやられサイトでもさらに検証して使い方を確実にマスターいくしかないかなと。

 

f:id:ThisIsOne:20200818194024p:plain

 

Best regards, (^^;

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain