share facebook facebook twitter menu hatena pocket slack

2012.01.23 MON

skipfishでログイン後のページのセキュリティ診断

鈴木 宏康

WRITTEN BY 鈴木 宏康

skipfishを早く終了させるためにの記事で、skipfishを現実的なスピードで実施できるようになったので、今回は、ログイン後のページに対してもセキュリティ診断をしてみます。

方法は、ログイン後の埋めこまれているCookieをskipfish実行時に指定するのみになります。

Cookieの確認は下記のようにChromeなどのブラウザで行うことができます。

上記で確認した、ログイン維持に利用しているCookieを、下記のようにskipfish実行時に指定(-C CAKEPHP=xxxxxxxxxxxxxxxxxxxxxxxxxx)します。

# ./skipfish -LVY -W /dev/null -C CAKEPHP=xxxxxxxxxxxxxxxxxxxxxxxxxx 
> -X /login -X /logout -o portal-auth http://www.suz-lab.com/

ここで、-Xオプションは除外するパスを指定するもので、今回はセッションがクリアされてしまう、ログイン(/login)とログアウト(/logout)を除外するようにしています。

セキュリティ診断対象のWebサーバのサクセスログに、ログインしていないとアクセスできないページが
出力されていれば、成功です。

こちらの記事はなかの人(suz-lab)監修のもと掲載しています。
元記事は、こちら

鈴木 宏康

鈴木 宏康

愛知県生まれ。東京工業大学大学院修士課程修了。在学時より、ベンチャー企業でインターネットに関する業務に携わり、現在はクラウド(主にAmazon Web Services)上での開発・運用を軸とした事業の、業務の中心として活躍。

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。