share facebook facebook twitter menu hatena pocket slack

2012.01.18 WED

skipfishを早く終了させるために

鈴木 宏康

WRITTEN BY 鈴木 宏康

以前、skipfishでWebアプリのセキュリティ診断の記事にてskipfishを利用したセキュリティ診断の方法を紹介しました。

しかし、このskipfishは実際に利用してみると診断に時間がかかり、なかなか終了しません。
そこで、アクセスログ等でアクセス内容を確認してみると、延々と、膨大な辞書ファイル上のキーワードに対して、それらをファイル名としたURLのチェックをしていました。

このURLチェックは、実行時間を考えると現実的ではないので、下記のようなオプションで、このチェックを行わないようにすることができます。

./skipfish -LVY -W /dev/null -o admin http://www.suz-lab.com/

オプションは下記の通りです。

-L: do not auto-learn new keywords for the site
-V: do not update wordlist based on scan results
-Y: do not fuzz extensions in directory brute-force
-W wordlist: load an alternative wordlist (skipfish.wl)
(今回は辞書ファイルを使わないように /dev/null を指定しています)

これにより、キーワードによるURLチェックをスキップすることができ、
セキュリティ診断を短時間で実施することが可能です。

ディレクトリ数が少ないサイトならいいのですが。

こちらの記事はなかの人(suz-lab)監修のもと掲載しています。
元記事は、こちら

鈴木 宏康

鈴木 宏康

愛知県生まれ。東京工業大学大学院修士課程修了。在学時より、ベンチャー企業でインターネットに関する業務に携わり、現在はクラウド(主にAmazon Web Services)上での開発・運用を軸とした事業の、業務の中心として活躍。

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。