最近セキュリティ周りが盛り上がっていて、現場でもセキュリティテストをどうしているのかと話にあがったので調べてみたら、面白いGemsがあったので試してみた記録を共有
公式サイト
こちらを参照 → arachni
arachni のインストール
gems になっているためRubyさえ入っていれば、あとはいつも通り gem install するだけです。
$ gem install arachni
Ruby1.9.3 から対応しているみたいなので、2014/5/12現在の公式のRuby環境には対応しているみたいです。
Ruby2.1.2 で試してみたところインストールは出来ましたが、実行中に落ちるのでRuby2.0ぐらいで試すのが良いかもしれません。
Github上のissuesにはv0.5では対応している雰囲気でしたが、私はまだ試しておりません。
arachni の実行
実行は、arachni コマンドにURLを入力するだけで実行できます。
最初は自分が所持しているJenkinsに対してXSSのテストをしてみましたが、数日程度たっても終了しなかったためある程度大きくなると実行に時間がかかる可能性もあるため注意が必要そうです。
$ arachni http://localhost
arachni にてレポート出力
XSSのテストを実行してくれても見える形にレポートを出力してくれないと上長に提出できない方もいらっしゃると思うので、レポートの出力の仕方は下記となります。
$ arachni -fv http://localhost --report=afr:outfile=test.com.afr
$ arachni --repload=test.com.afr --report=html:outfile=my_report.html
上記を実行するとテストを行ってから afr形式にてレポートを出力し、その後、afr形式をhtml形式にて出力しております。
html形式以外にも下記の形式にならば出力は可能なようです。
・HTML
・Metareport
・Marshal
・YAML
・Arachni
最後に
セキュリティに関してのテストツールは日本語の資料も少なく、情報も少ないと思っていますが、この記事が誰かの役に立ったのならば幸いです。