http://d.hatena.ne.jp/end0tknr/20150102/1420207458
↑こちらの以前のエントリに関連しますが、セキュリティを考慮したWEBサーバに設定したとしても、その設定内容はテスト(チェック)したいですよね?
なので、無償で利用できるネットワーク?セキュリティ診断ツールを調べてみました。
Nikto2
https://cirt.net/Nikto2
perlで書かれており、apacheのversion , cookieのhttponly , crossdomain.xml , TRACEメソッド 等々、数千の項目をチェックしてくれます。
http://www.atmarkit.co.jp/ait/articles/0803/05/news149.html
利用方法は、@it の記事に記載されている通りですが、次のように実行します。
(ファイルの取得だけで、install自体は不要です)
$ wget http://www.cirt.net/nikto/nikto-current.tar.gz
$ tar -xzvf nikto-current.tar.gz
$ cd nikto-2.1.5
$ perl nikto.pl -update #最新のテストパターン入手
$ perl nikto.pl -host https://www.example.com
最後のnikto.plの実行により発見された脆弱性が表示されます
Qualys SSL LABS の SSL Server Test
https://www.ssllabs.com/ssltest
こちらは、SSLに特化したセキュリティ診断WEBアプリで、url (ホスト名)を指定するだけで、評価してくれます
こんなに簡単に脆弱性を発見できるこので、世の中のWEBサーバの脆弱性が、さらされなければ、良いんですがね