LoginSignup
16

More than 5 years have passed since last update.

arachni によるクロスサイトスクリプティングのテスト

Posted at

最近セキュリティ周りが盛り上がっていて、現場でもセキュリティテストをどうしているのかと話にあがったので調べてみたら、面白いGemsがあったので試してみた記録を共有

公式サイト

こちらを参照 → arachni

arachni のインストール

gems になっているためRubyさえ入っていれば、あとはいつも通り gem install するだけです。

$ gem install arachni

Ruby1.9.3 から対応しているみたいなので、2014/5/12現在の公式のRuby環境には対応しているみたいです。
Ruby2.1.2 で試してみたところインストールは出来ましたが、実行中に落ちるのでRuby2.0ぐらいで試すのが良いかもしれません。
Github上のissuesにはv0.5では対応している雰囲気でしたが、私はまだ試しておりません。

arachni の実行

実行は、arachni コマンドにURLを入力するだけで実行できます。
最初は自分が所持しているJenkinsに対してXSSのテストをしてみましたが、数日程度たっても終了しなかったためある程度大きくなると実行に時間がかかる可能性もあるため注意が必要そうです。

$ arachni http://localhost

arachni にてレポート出力

XSSのテストを実行してくれても見える形にレポートを出力してくれないと上長に提出できない方もいらっしゃると思うので、レポートの出力の仕方は下記となります。

$ arachni -fv http://localhost --report=afr:outfile=test.com.afr
$ arachni --repload=test.com.afr --report=html:outfile=my_report.html

上記を実行するとテストを行ってから afr形式にてレポートを出力し、その後、afr形式をhtml形式にて出力しております。
html形式以外にも下記の形式にならば出力は可能なようです。

・HTML
・Metareport
・Marshal
・YAML
・Arachni

最後に

セキュリティに関してのテストツールは日本語の資料も少なく、情報も少ないと思っていますが、この記事が誰かの役に立ったのならば幸いです。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
16