Hello there, ('ω')ノ

 

急にOWASP BWAのCycloneが起動できなくなって。

別のPCに環境を構築すると一応は、見れるようになったものの。

原因はブラウザの証明書あたりにありそうで。

 

 

脆弱性診断する際、Webサイトの多くはJavaScriptを使用しているので。

クローラーは、一部のリンクとリソースを見逃す可能性があって。

はじめに手動でクロールすることがおすすめで。

スパイダーの機能を使う前にすべてをクリックしておいたほうがよいかと。

ただ、対象となるサイトの範囲外のリンクをクリックしても意味がなく。

メールを送信するリンクにアクセスしても意味がなくて。

 

 

たまに静的なPDFファイルにリンクしているように見えるものもあって。

実際には構築されていたりもするので油断しないように。

 

 

できるだけ多くのフォームを表示させるために誤ったデータを入れたりもして。

 

 

特に入力エリアのある画面は。

 

 

ただ、ここで問題が。

どうもアカウント作成がうまくいかず。

今回は、流れだけをウォッチすることなので気にしないことに。

 

 

手動でクロールした後は、スパイダーはキューをもっているようで。 

スパイダーに再度、ブランチをアクティブにしてクロールさせて。

再度、パッシブスキャンを実行させておいて。

 

 

最後にアクティブスキャンを。

 

 

重複するアイテムを削除することにして。

すでにスキャンされたアイテムも削除して。

拡張子をもつアイテムを削除して。

bmpやpdfをテストしたくないなら追加をして。

 

 

スキャナをしてみると。

不要と思われるURLがたくさん見受けられ。

スパイダーあたりの操作方法に誤りがあるのかもと。

 

 

スキャン結果は、それほどおもしろくもなく。

Cycloneに不具合があるのかもしれないですが。

他のやられサイトでもさらに検証して使い方を確実にマスターいくしかないかなと。

 

 

Best regards, (^^;